我尝试从/ var / log / messages过滤掉audispd日志,默认情况下audispd使用" user.info"
发送日志我目前的情况是/etc/rsyslog.conf在网络中的几台机器中共享,因此大多数自定义配置文件都是在/etc/rsyslog.d中完成的,我遇到的问题它似乎重定向日志确实适用于自定义配置文件,例如我的/etc/rsyslog.d/user.conf如果有这个
user.info /var/auditd/audispd.log
& ~
它可以正常工作,但是对于过滤,例如下面的示例将不会产生任何影响,即使我放入我试图避免在这里避免的主要配置文件中肯定会有相同的语法:
user.!=info /var/log/messages
& ~
旁注服务器正在使用Rsyslog 5.8.10
PS:抱歉我的英语不好,因为它不是我的主要语言:)
感谢
问候
ž
答案 0 :(得分:0)
您必须确保自己处于1.8审核状态,否则这将无效。
将“LOG_LOCAL0”添加到/etc/audisp/plugins.d/syslog.conf
修改rsyslog.conf并将“local0.none”添加到目的地(/ var / log / messages)
重新启动rsyslogd