仅当日志包含某个关键字时我才需要转发日志。我通过在 rsyslog.conf 中添加这一行来实现这一点。
:msg, !contains, "xyz" ~
我知道这种情况意味着如果日志包含“xyz”以外的任何内容,则不转发它,但它所做的也是完全丢弃日志,甚至不将其打印在本地系统日志中。有人可以为我提供一个简单的语法,该语法可以为所有情况写入日志,但仅针对某些关键字转发日志。我将非常感激。
答案1
好吧,我自己想出来了。我需要添加这个表达式。可惜事情就是这么简单。
if $msg contains 'xyz'
then @@xxx.xx.xx.xxx:518
这始终记录到本地系统日志,但仅当日志包含单词“xyz”时才记录到远程计算机