我正在将一些为syslog-ng编写的配置转换为rsyslog;但是,由于syslog-ng处理消息的方式与rsyslog处理消息的方式相比,我遇到了一些问题。
在当前配置中,我们为远程日志聚合器定义一个目标,如下所示:
destination aggregators {
udp("1.2.3.4" port(514));
udp("5.6.7.8" port(514));
}
然后,对于具有不同来源和过滤器的各种不同日志,将多次调用此日志,所有这些日志都位于同一位置。
在rsyslog中,很容易使用action和omfwd定义一些远程日志记录。但是,如果我想让多个规则集执行相同的操作,则看起来我必须做出一堆重复的定义(如果我希望远程发送操作具有单独的队列,则需要重复的队列)。那是做事情的唯一方法吗?还是可以一次定义一个动作并在多个规则集中调用它们,让它们都使用相同的队列?