Rsyslog-legacy（舊版本語法）配置說明及舉例

時間 2019-12-12

標籤 rsyslog legacy 舊版語法配置說明舉例简体版

原文原文鏈接

一、 RULES-書寫規則

格式：日誌設備（類型）.日誌級別日誌處理方式ssh

（1）日誌類型分類spa

authdebug	pam產生的日誌unix
authpriv調試	ssh，ftp等登陸信息的驗證信息日誌
croncode	時間任務相關orm
kernserver	內核blog
lpr	打印
mail	郵件
mark(syslog)	rsyslog服務內部的信息，時間標識
news	新聞組
user	用戶程序產生的相關信息
uucp	unix主機之間相關的通信
local 1~7	自定義的日誌設備（類型）

（2）日誌級別分類

debug	有調試信息的，日誌信息最多
info	通常信息的日誌，最經常使用
notice	最具備重要性的普通條件的信息
warning	警告級別
err	錯誤級別，阻止某個功能或模塊不能正常工做的信息
crit	嚴重級別，阻止整個系統或整個軟件不能正常工做的信息
alert	須要當即修改的信息
emerg	內核崩潰等嚴重信息
none	什麼都不記錄

備註：從上到小，級別由低到高，記錄的信息也愈來愈少。

（3）鏈接符號

.xxx	表示大於等於xxx級別的信息
.=xxx	表示等於xxx級別的信息
.!xxx	表示在xxx以外的等級的信息

（4）演示

記錄到普通文件或設備文件	. /var/log/file.log #絕對路徑 . /dev/pts/0
轉發到遠程	. @192.168.0.1 #UDP . @@192.168.0.1:10514 #TCP
發送給用戶（在線用戶才生效）	. root . root,test #多個用戶使用英文逗號分開 . * #*表示全部在線用戶
忽略，丟棄	local3.* ~ #忽略全部local3類型的全部級別的日誌
執行腳本	local3.* ^/tmp/a.sh #^後跟可執行腳本或程序的絕對路徑 #日誌內容可做爲腳本的第一個參數
觸發報警	.. note::

備註：日誌記錄的順序有前後關係

二、實例

（1）過濾日誌，由:號開頭

:msg,contains, "error" /var/log/error.log

:msg,contains, "error" ~

:msg,contains, "user vicky" ~

:msg, contains, "module-alsa-sink.c: ALSA woke us up to write new data to the device, but there was actually nothing to write" ~

local3.* ~

& ~ #忽略全部日誌

（2）使用模板來定義日誌格式

默認模板格式：

$template myFormat, "%rawmsg%\n"

定義模板格式：

　　詳見文檔rsyslog的模板

爲規則使用模板：

cron.*          /var/log/cron;myFormat          #分號後面添加模板名

（3）遠程發送和接收

*.*   @192.168.0.1                          #UDP

*.*   @@192.168.0.1:10514                   #TCP

client端：配置發送到哪裏，有無故口，使用什麼協議發送

server端：配置使用什麼協議監聽哪一個端口，收到的日誌保存到哪裏

（4）做爲server端，將不一樣client端發送過來的日誌保存到不一樣的文件

:FROMHOST-IP,isequal,          "192.168.0.3"                   /var/log/host3.log

:FROMHOST-IP,isequal,          "192.168.0.133"               /var/log/host133.log

:FROMHOST-IP,startwith,      "192.168.1."                      /var/log/network1.log

:FROMHOST-IP,startwith,      "192.168.2."                      /var/log/network2.log

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。