我有一个Rsyslog中央服务器,其中多台机器发送日志文件,这些日志文件由机器IP存储。
$template DailyPerHostLogs,"/var/log/remote/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
*.* -?DailyPerHostLogs
这很好但是所有日志都会进入logmachines中心日志,如:
/var/log/messages
/var/log/auth
/var/log/cron
阻止这种情况发生的最佳方法是什么?
由于
答案 0 :(得分:2)
解决了它,必须先把远程日志接受规则放在这个:
## before going to local log rules, drop remote logging, it's been
## processed in the "central logging" section
#
:hostname, !isequal, "biglogserver" ~
然后是rsyslog.conf的其余部分
答案 1 :(得分:0)
如果我理解你的问题,你就不会在机器上本地保存日志。
为此,您必须从/etc/syslog.conf中删除描述本地日志文件的所有行,并且只留下远程发送日志的行。