我正在将ELK-Stack作为中央syslog服务器运行,我设置了rsyslog来向其发送日志文件(默认情况下该日志文件未登录到/ var / lib / messages)。
设置工作得很好,但是由于我进行了配置,因此外部日志文件实际上显示在消息文件中,这超出了比例,使调试正常的系统日志变得困难。
我希望将日志发送到syslog服务器,而不要发送到消息文件中。
这是我当前的配置:
111-elk-syslog.conf:
*.* @@IP_OF_THE_SYSLOGSERVER:514
101-external-log.conf
$ModLoad imfile
$InputFileName PATH_TO_LOGFILE
$InputFileTag FILE_TAG
$InputFileStateFile FILE_TAG
$InputFileFacility local3
$InputRunFileMonitor
我知道,使用filebeat可以绕开它,但是rsyslog在我的环境中运行良好,并且该应用程序是唯一一个日志记录如此之多的记录,这是一个实际问题。
答案 0 :(得分:0)
我不详细了解您的设置,但是如果您不希望进一步处理已匹配的消息,通常可以在rsyslogd中了解,您只需在下一行重复过滤器即可使用&和操作stop。例如,您可以尝试
*.* @@IP_OF_THE_SYSLOGSERVER:514
& stop