/etc/rsyslog.conf ###本地fromhost-ip在imfile中拿不到,这里重新匹配 template(name="LocalFormat" type="string" string= "/data/log/%programname:F,44:2%/127.0.0.1/%$YEAR%/%$MONTH%/%$DAY%.log" )##真正的命名是tag逗号后面的参数 :syslogtag,startswith,"local" ?LocalFormat;CleanMsgFormat & ...
template(name="FTM" type="string" string="/var/log/rsyslog_custom/%fromhost-ip%/%$YEAR%/%$MONTH%/%$DAY%/%PROGRAMNAME%.log") *.* ?FTM 1. 2. 3. 增加的这一步就是为了分离各个client汇报上来的数据,存放在不同的目录,使用到了模板技术,关于模板的官方解释看这里:template Temp...
如果我们想要将所有从远程客户端接受到的消息写入到一个以它们的IP地址命名的单个文件中,可以使用以下的模板。在此我们为该模板赋予了“IpTemplate”名称。 $template IpTemplate,"/var/log/%FROMHOST-IP%.log" *.* ?IpTemplate & ~ 1. 2. 3. 在我们启用rsyslog守护进程并编辑好配置文件之后,需要重启该守护进...
$template IpTemplate,"/var/log/%FROMHOST-IP%.log" *.* ?IpTemplate & ~ #如果不写这个 那么syslog日志还会写一份到本地的message里 方式三:使用自定义日志模板:如使用上面的$template RemoteLogs模板: info,mail.none,authpriv.none,cron.none ?RemoteLogs ...
配置所有来源IP的日志到指定文件夹的指定文件 $template Remote,"/var/syslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log" :fromhost-ip, !isequal, "127.0.0.1" ?Remote # 日志文件存放主目录为 /var/syslog/下,会自动创建发日志主机IP的文件夹,并将日志存放在每天创建的log文件里面。
$template RemoteHost,"/home/rsyslog-data/%$YEAR%-%$MONTH%-%$DAY%/%FROMHOST-IP%.log *.* ?RemoteHost & ~ 3、示例3 配置文件存储模板 $template RemoteAuditLogs,"/data/auditd/%FROMHOST-IP%/audit.log" * $template RemoteNetworkLogs,"/data/network-log/%HOSTNAME%/network.log" * ...
local1_path & ~ if $fromhost-ip != '127.0.0.1' then ?remote_path & ~ 2.1.5 保存退出 命令行模式下。 :x说明: $template定义了两个模板,名称分别为local1_path和remote_path,模板名称后面指定了将消息保存到的日志文件的路径。 if开头的指令是基于表达式的过滤器。第一条if指令的意思是,如果日志消息...
Provides UDP syslog reception$ModLoadimudp#去掉注释$UDPServerRun514#去掉注释# Provides TCP syslog reception$ModLoadimtcp#去掉注释$InputTCPServerRun514#去掉注释### GLOBAL DIRECTIVES ###添加日志接收模板:$templateIpTemplate,"/net-log/%FROMHOST-IP%_%$YEAR%-%$MONTH%-%$DAY%.log":FROMHOST-IP,!is...
$templateRemoteLogs,"/var/log/rsyslogTest/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"*.* ? RemoteLogs 1. - 编辑完配置文件后,重启守护进程使更改生效 复制 systemctl restart rsyslog 1. 可以使用netstat命令来验证rsyslog守护进程是否正常工作,运行以下命令: ...
# provides UDP syslog reception$ModLoadimudp$UDPServerRun514# provides TCP syslog reception#$ModLoad imtcp#$InputTCPServerRun 514$AllowedSendertcp,192.168.34.100/24$templateRemoteLogs,"/var/log/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"*.* ?RemoteLogs ...