Linux Destro 是：Centos 6.8

下面是 rsyslog.conf 的样子：

# cat /etc/rsyslog.conf

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
#$ModLoad immark  # provides --MARK-- message capability
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template server-dc, "/scratch/rsyslog/%HOSTNAME%/messages.log"
authpriv.*   ?server-dc
*.info,mail.none,authpriv.none,cron.none   ?server-dc
$IncludeConfig /etc/rsyslog.d/*.conf

#*.info;mail.none;authpriv.none;cron.none                /var/log/messages
#*.*                                                     @elk-rsyslog:514

我要理解的一点是：

1）

$template server-dc, "/scratch/rsyslog/%HOSTNAME%/messages.log"
enter code here

因此，上面的行/scratch/rsyslog是 rsyslog 服务器上的目录路径，我们在其中转发来自 unix 远程主机的所有日志，该主机在消息文件后面创建一个目录结构，如下所示：

/scratch/rsyslog/remot1-Ser1/messages.log
/scratch/rsyslog/remot1-Ser2/messages.log

所以，这工作正常，但是同时我们也有很少的网络设备将网络日志以以下格式转发到同一位置：

/scratch/rsyslog/Sep/messages.log
/scratch/rsyslog/Oct/messages.log

在上述网络日志的情况下，它在消息文件后面按月份名称创建目录因此，我正在 rsyslog 中寻找一种方法来为网络日志定义不同的路径，以便可以将/scratch/rsyslog/network网络日志收集到单独的文件夹中，这背后的原因是，我正在将这些日志处理到 Elasticsearch，因此我对 unix 日志使用通配符，/scratch/rsyslog/*/messages.log但这也包括被调用的通配符（）的网络日志*。

那么，有没有一种方法可以说明日志是否来自特定的远程主机或 IP 应该转到 rsyslog 服务器中的特定文件夹？

2）这里输入$template server-dc, "/scratch/rsyslog/%HOSTNAME%/messages.log" 什么是登录 服务器 DC由于这是另一个主机名，这是否有任何目的，或者我们可以考虑上述要求将其更改为相关的内容。

3）相同 服务器 DC也被包含到另一个配置参数中。

期望的

只是想知道是否有办法可以将类似系统、网络、防火墙的日志转发到单独的不同目录中，例如......

1 -/scratch/rsyslog/system/%HOSTNAME%/messages.log

2 - /scratch/rsyslog/network/%HOSTNAME%/messages.log

3 - /scratch/rsyslog/firewall/%HOSTNAME%/messages.log