Rsyslog中央日志记录将本地日志分开

时间:2014-01-07 19:50:56

标签: linux logging rsyslog

我有一个Rsyslog中央服务器,其中多台机器发送日志文件,这些日志文件由机器IP存储。

$template DailyPerHostLogs,"/var/log/remote/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
*.* -?DailyPerHostLogs

这很好但是所有日志都会进入logmachines中心日志,如:

/var/log/messages
/var/log/auth 
/var/log/cron

阻止这种情况发生的最佳方法是什么?

由于

2 个答案:

答案 0 :(得分:2)

解决了它,必须先把远程日志接受规则放在这个:

## before going to local log rules, drop remote logging, it's been
## processed in the "central logging" section
#
:hostname, !isequal, "biglogserver"       ~

然后是rsyslog.conf的其余部分

答案 1 :(得分:0)

如果我理解你的问题,你就不会在机器上本地保存日志。

为此,您必须从/etc/syslog.conf中删除描述本地日志文件的所有行,并且只留下远程发送日志的行。

相关问题
最新问题