これは私の連続です。前の記事rsyslog設定の使用中に多くの困難に直面し、これについて多くのことをしないでください。多くのプロフェッショナルな提案を受けた後、ほとんどの設定が機能し、ジレンマに陥っていくつかのメッセージを削除したいと思います。メッセージをフィルタリングしました。
私の現在のrsyslog.conf設定ファイル:
[root@hos1-loghost ~]# cat /etc/rsyslog.conf
##########################################################################################
# rsyslog configuration file For PCC & LPC
##########################################################################################
#### MODULES ####
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
$ModLoad imudp # Provides UDP syslog reception
$UDPServerRun 514 # Provides UDP syslog reception
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
$template system-logs, "/data/SYSTEMS/%HOSTNAME%/messages.log"
$template dpc-nets,"/scratch/rsyslog/network/%HOSTNAME%/messages.log"
$template dpc-firewalls,"/scratch/rsyslog/firewall/%HOSTNAME%/messages.log"
#################################################
#### GLOBAL DIRECTIVES ####
#################################################
$WorkDirectory /var/lib/rsyslog # Where to place auxiliary files
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat # Use default timestamp format
$IncludeConfig /etc/rsyslog.d/*.conf # Include all config files in /etc/rsyslog.d/
$OmitLocalLogging on # local messages are retrieved through imjournal now.
$IMJournalStateFile imjournal.state # File to store the position in the journal
############ RULES #########################################
# Log anything (except mail) of level info or higher #######
# Don't log private authentication messages! ########
############################################################
mail.none;authpriv.none;cron.none ?system-logs
*.* ?system-logs
#####################################################################
# Custom conditional Forwarding of messages to the syslog Directory #
###################################################################
if $fromhost startswith "wc" then {
*.crit,*.err,*.emerg,*.alert,*.panic,mail.none,authpriv.none,cron.none,news.none,uucp.none,kern.none ?system-logs
& stop
}
if $fromhost startswith "sj-" then {
*.crit,*.err,*.emerg,*.alert,*.panic,mail.none,authpriv.none,cron.none,news.none,uucp.none,kern.none ?system-logs
& stop
}
if $fromhost startswith "vlsj-" then {
*.crit,*.err,*.emerg,*.alert,*.panic,mail.none,authpriv.none,cron.none,news.none,uucp.none,kern.none ?system-logs
& stop
}
上記の設定には、ホスト名をフィルタリングし、必要な施設レベルのみを選択し、残りは削除するいくつかのif条件があります。
これで、特定の文字列を含むメッセージを無視/削除する必要があります。
メッセージセットの例
Feb 8 08:07:01 my-ezure CROND[10487]: (root) CMD (/grid/it/sbin/plugins/new_toplevelmap.sh)
Feb 8 08:08:01 my-ezure CROND[10587]: (root) CMD (/grid/it/sbin/plugins/ps-rem)
Feb 8 08:01:01 my-ezure run-parts(/etc/cron.hourly)[9812 starting mcelog.cron
Feb 8 08:01:01 my-ezure run-parts(/etc/cron.hourly)[9841 finished mcelog.cron
Feb 8 08:08:01 my-ezure CROND[10588]: (root) CMD (/grid/it/sbin/plugins/new_toplevelmap.sh)
上記のメッセージに含まれているメッセージを削除する必要があります CROND。 rsyslog.confの最後に次の行を追加しようとしましたが、成功しませんでした。
$programname == 'CROND'の場合は停止
$rawmsgに「CROND」が含まれている場合〜
$syslogfacility-text == 'CROND'ならば〜
rsyslogのバージョンがあります。rsyslogd 7.4.7
必要なメッセージだけが私のrsyslogサーバーに書き込まれるように、すべてのオンラインクライアントホストから不要なメッセージをすべて削除したいと思います。