Конфигурационные файлы Rsyslog находятся в: /etc/rsyslog.d/*.conf
Rsyslog читает файлы conf последовательно, поэтому важно, чтобы вы назвали свой файл конфигурации так, чтобы конкретная конфигурация загружалась прежде, чем что-либо еще произойдет. Таким образом, имя файла , начиная с ведущим нулем, то есть 00-my-file.conf
. Лучше создать новый файл, чтобы обновления и т. Д. Не перезаписывали вашу локальную конфигурацию.
Пример:
if $programname == 'programname' and $msg contains 'a text string' and $syslogseverity <= '6' then /var/log/custom/bind.log
Или, если вы просто хотите отказаться от определенных записей:
if $programname == 'programname' then ~
В вашем случае: (UDP)
if $programname == 'programname' then @remote.syslog.server
& ~
Или (TCP)
if $programname == 'programname' then @@remote.syslog.server
& ~
В & ~
средство для остановки обработки согласования (предыдущей строки только!) Записей в дальнейшем.
Еще немного общей информации:
Кроме того, всегда проверяйте, чтобы фильтры были в одной строке:
# Example: Log mail server control messages to mail-queue.log
if $hostname == 'titus'\
and $programname == 'smtp.queue.'\
and $syslogseverity <= '6' then /var/log/titus/mail-queue.log
& ~
Полезные фильтры:
$hostname
$programname
$msg
$syslogseverity
Операторы:
== (equals)
contains
and
or
Дополнительная информация: http://wiki.rsyslog.com/index.php/Configuration_Samples