是否有可能在系统日志消息写入 /var/log/ 之前拦截它们并对其进行评估(在特殊情况下进行更改)?
目前我正在使用 inotify 来监视日志文件并将评估的日志写入新文件。
答案1
是的,这是可能的。你可以这样做syslog-ng和过滤器如果你有创造力。
不,我不会具体告诉你怎么做,因为这是一个糟糕的想法。
一般来说,您不会更改正在记录的数据。您可以记录原始数据,并在必要时在显示之前对其进行后处理。更改日志数据会破坏记录过程的完整性 - 这相当于在刑事案件中栽赃陷害。
拦截、评估、更改系统日志消息