我遇到了 rsyslog 重复日志的问题。我已将 rsyslog 配置为从远程服务器接收日志 - Windows(安装了将事件转换为 syslog 的服务)和 Linux。为此,我在 rsyslog.conf 中添加了以下行,如下所示:
######################
#### REMOTE RULES ####
######################
if $fromhost-ip == 'xx.xxx.xxx.xxx' then /var/log/RemoteSystems/remote1/remote1.log
&~
#
if $fromhost-ip == 'xx.xxx.xxx.xxy' then /var/log/RemoteSystems/remote2/remote2.log
&~
#
............
我只想接收这些文件中的日志 - remote1.log 和 remote2.log,但一些日志也在 auth.log、syslog、kern.log 中重复。
rsyslog.d 下的另外 2 个 conf 文件是 Ubuntu 的默认文件。
答案1
来自rsyslog 站点:
if $fromhost-ip == '192.168.152.137' then {
action(type="omfile" file="/var/log/remotefile02")
stop
}