我已经安装了 rsyslog 并且正在监听来自设备的日志流。
我遇到的问题是,在我开始保存设备自己的日志行之前,会生成一些与 rsyslog 本身相对应的行。
有人可以告诉我如何避免存储这些 rsyslog 日志行。
2017-10-24T10:06:34.154576+02:00 server01 systemd: Stopping System Logging Service...
2017-10-24T10:06:34.162868+02:00 server01 rsyslogd: [origin software="rsyslogd" swVersion="8.24.0" x-pid="20241" x-info="http://www.rsyslog.com"] exiting on signal 15.
2017-10-24T10:06:34.220188+02:00 server01 systemd: Stopped System Logging Service.
2017-10-24T10:07:25.999915+02:00 server01 systemd: Starting System Logging Service...
目前在配置文件中,我已经尝试了这些数据,但它仍然存储了我没有兴趣的 rsyslog 行。
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
*.info;mail.none;auth.none;authpriv.none;cron.none;local0.none;kern.none action(type="omfile" file="/var/log/mylogs")
答案1
您需要使用 rsyslog 的丢弃运算符 (~)。例如,以下是丢弃此消息的一种方法:
:msg,contains,"Stopping System Logging" ~
您还需要检查这些规则的评估顺序。我建议创建一个单独的文件/etc/rsyslog.d/01-discard.conf,然后将丢弃语句放在那里。基本上,您需要确保丢弃先于其他所有操作进行评估。