Question

我是rsyslog的新手。我有多个服务器（rsyslog服务器）将syslog发送到远程服务器（syslog-ng服务器）。现在，我将所有内容发送到远程服务器。我想过滤并将日志从特定文件发送到远程服务器。

10-custom.conf-这是我正在使用的自定义配置文件

#Forward specific logs to remote server
module(load="imfile")

input(type="imfile"
      file="/var/log/tomcat8/bar.log"
      Tag="bar:")

input(type="imfile"
      file="/var/log/tomcat8/foo.log"
      Tag="foo:")

input(type="imfile"
      file="/var/log/dpkg.log"
      Tag="dpkg:")

input(type="imfile"
      file="/var/log/syslog"
      Tag="syslog:")

input(type="imfile"
      file="/var/log/auth.log"
      Tag="auth:")

input(type="imfile"
      file="/var/log/kern.log"
      Tag="kern:")


#if $Tag == "catalina:" then @@remoteserver:port
:syslogtag, isequal, "catalina:" @@remoteserver:port
& stop

我正在尝试根据标签过滤掉并将其发送到远程服务器。无法正常工作。

什么是最好的设置方法？

谢谢！

Answer 1

您可以将语句放在rsyslog.conf顶部，如此处所述：

https://www.rsyslog.com/discarding-unwanted-messages/

例如，假设您只想发送特定的功能消息到远程日志服务器，例如所有相关的邮件消息，而不管优先级如何，请将以下行添加到rsyslog配置文件：

mail.* @192.168.10.254:514

如何使用rsyslog仅将特定文件发送到远程服务器

1 个答案: