我有运行 openLDAP 的 Centos 6 服务器。在 rsyslog.conf 中,我使用以下行将日志转发到我的中央服务器:
*.* @10.10.10.10:514
openldap 似乎非常健谈。我在多主集群中有 3 台服务器。这 3 台服务器生成的日志数量是我其他 80 台服务器总和的两倍。
我一直没能弄清楚如何告诉 openLDAP 使用合理的日志级别。(我们从未专门设置日志级别)由于这些是我的主要身份验证源,我有点犹豫是否要“尝试”它们。有没有办法告诉 rsyslog 转发除 LOCAL4 之外的所有内容?
答案1
我找到了解决方案。OpenLDAP 默认使用 syslog 工具 LOCAL4,而在我的 centos6 服务器中,该工具未定义。
然而,我有
*.* @10.10.10.10:514
其中包括 local4,它未在其他地方定义。
为了特别排除(我注意到在处理 /var/log/messages 的那一行),我可以这样做:
*.*;local4.none @10.10.10.10:514
我还可以将其与其他内容结合起来,例如:
*.*;local4.none;mail.debug;local7.error @10.10.10.10:514
在上述内容中,从我的测试来看,除了 local4 之外,或任何“低于”邮件调试或 local7 错误的内容,都会转发所有内容
这似乎使我的 logstash 数据更加清晰。