我有几个特定的应用程序导致我的系统日志服务器中出现大量日志。我想将它们的所有日志都保存在 /var/log/messages 或服务器上的某个位置,但我正在尝试找到一种方法,只在这些应用程序处于警告或更高级别时向系统日志服务器发送系统日志消息。是否有一个条目可以输入到 syslog-ng.conf 中,以解析特定应用程序低于“警告”的内容?
答案1
您可以编辑 /etc/rsyslog.conf 并更改日志,例如:
auth.*,authpriv.* /var/log/auth.log
*.warn,*.err,*.crit,*.alert,*.emerg /var/log/syslog
daemon.warn,daemon.err,daemon.alert,daemon.emerg /var/log/daemon.log
kern.warn,kern.err,kern.crit,kern.alert,kern.emerg /var/log/kern.log
lpr.warn , lpr.err, lpr.crit, lpr.alert,lpr.emerg /var/log/lpr.log
mail.warn,mail.err,mail.crit,mail.alert,mail.emerg /var/log/mail.log
user.warn,user.err,user.crit,user.alert,user.emerg /var/log/user.log
news.warn,news.err,news.crit,news.alert,news.emerg /var/log/news.log
cron.warn,cron.err,cron.crit,cron.alert,cron.emerg /var/log/cron.log
如果您更改文件夹目标,将仅记录emerg crit warn alert消息(在这种情况下,身份验证除外),请不要忘记更新日志轮换/etc/logrotate.d/(如果您已安装日志轮换)
使用此配置,您不应该有大量日志。否则,您必须担心收到的消息