LINUX.ORG.RU
ФорумAdmin

rsyslog remote host

 


0

1

Привет! Подскажите как правильно отделить удаленные логи от локальных. Есть стандартный конфиг /etc/rsyslog.conf

$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$WorkDirectory /var/spool/rsyslog
$IncludeConfig /etc/rsyslog.d/*.conf
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
lpr.*                           -/var/log/lpr.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log
mail.info                       -/var/log/mail.info
mail.warn                       -/var/log/mail.warn
mail.err                        /var/log/mail.err
news.crit                       /var/log/news/news.crit
news.err                        /var/log/news/news.err
news.notice                     -/var/log/news/news.notice
*.=debug;\
        auth,authpriv.none;\
        news.none;mail.none     -/var/log/debug
*.=info;*.=notice;*.=warn;\
        auth,authpriv.none;\
        cron,daemon.none;\
        mail,news.none          -/var/log/messages
*.emerg                         :omusrmsg:*
daemon.*;mail.*;\
        news.err;\
        *.=debug;*.=info;\
        *.=notice;*.=warn       |/dev/xconsole

Пишу в /etc/rsyslog.d/switch.conf

$template RemoteHost,"/var/log/switch/%HOSTNAME%.log"
*.* ?RemoteHost

Все нормально, логи получаю с удаленных коммутаторов, но туда попадает еще и 127.0.0.1 как его исключить?

Так же в /var/log/messages /var/log/debug попадают удаленные логи, а нужно что бы только в /var/log/switch/%HOSTNAME%.log

Заранее спасибо!


$template RemoteHost,"/var/log/switch/%HOSTNAME%.log"
if $hostname contains 'тут кусок хостнейма' then ?RemoteHost

Ну или наоборот проверять что не с локалхоста пришло аналогичным способом

alozovskoy ★★★★★ ()
Ответ на: комментарий от fet4

В гугле забанили?

if not $hostname == '127.0.0.1' then ?RemoteHost

Надо fqdn только подставить или отключить его в конфиге (рулится через, емнип, $PreserveFQDN)

alozovskoy ★★★★★ ()
Ответ на: комментарий от alozovskoy

С 127.0.0.1 разобрался.

Но в /var/log/messages дублирует, как отфильтровать?

fet4 ()
Ответ на: комментарий от fet4

После правила добавить «& ~» без кавычек.

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.