我目前正在运行 Graylog 来接收来自 Pi-Hole 和 Snort 实例的日志。但是,rsyslog 也发送所有日志,例如 java、sudo 等。
如何配置 Rsyslog 以仅记录 Snort 特定条目和 Pi-Hole 条目。无需记录其他任何内容。
我当前的 /etc/rsyslog.conf 文件如下所示:
module(load="imuxsock") # provides support for local system logging
module(load="imklog") # provides kernel logging support
module(load="imfile" PollingInterval="10") #used for Pi-Hole logging
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$WorkDirectory /var/spool/rsyslog
#SNORT Data
*.* @127.0.0.1:5140;RSYSLOG_SyslogProtocol23Format
#PiHole Data
input(type="imfile"
File="/var/log/pihole.log"
StateFile="/var/run/pihole.log.state"
Tag="pihole"
Severity="info"
Facility="local7")
答案1
在行首添加 # 字符将其注释掉。例如:#module(load="imuxsock") # 提供对本地系统日志记录的支持