我有一台运行Rsyslog的ubuntu 14.04服务器。 50-default.conf中的规则集:
ruleset(name="eventlog"){
action(type="omfile" file="/var/log/eventlog.log")
}
ruleset(name="networklog"){
action(type="omfile" file="/var/log/networklog.log")
}
input(type="imudp" port="10514" ruleset="eventlog")
input(type="imudp" port="11514" ruleset="networklog")
问题:
虽然发往端口10514的90%的流量被写入'eventlog',但仍有大约10%的流量被写入syslog。规则集应该将所有流量写入udp端口10514上收到的eventlog.log文件,对吗?
谢谢!
更新:tcpdump确实显示到达端口10514而非514的流量
更新#2:版本为7.4.4,这是唯一的两个规则集。不适用于规则集的流量将正确写入syslog。
更新#3:升级到最新的稳定rsyslog。将配置更改为:
ruleset(name="eventlog"){
*. * /var/log/eventlog.log
}
ruleset(name="networklog"){
*.* /var/log/networklog.log
}
input(type="imudp" port="10514" ruleset="eventlog")
input(type="imudp" port="11514" ruleset="networklog")
它仍在写入约90%的eventlog.log和约10%的syslog。流量肯定会出现在正确的端口上,因为没有押韵或因为“事件日志”流量而被写入系统日志的原因。我认为它跟不上。