rsyslogd - 如何丢弃重复的警报“X”，除非警报“Y”发生在其间（保留上下文）

Question

如果您使用的是 7.5.6 或更高版本，则可以按如下方式使用 mmsequence。

module(load="mmsequence")
if ($programname == "myprog") and ($msg contains "Bad Conn1")
then {
    action(
        type="mmsequence"
        mode="key"
        key="connection1"
        step="1"
        var="$!counter1"
    )
    if ($!counter1 > 1) then stop;
}
if ($programname == "myprog") and ($msg contains "Good Conn1")
then {
    action(
        type="mmsequence"
        mode="key"
        key="connection1"
        step="1"
        to="1"
        var="$!counter1"
    )
}

请注意，mmsequence 在 rsyslog v8 中被标记为“已弃用”。文档指出您应该改用“全局变量”。但是，在文档中搜索全局变量并没有提供关于如何使用这些神秘的“全局变量”的信息。

Answer 1

如果您使用的是 7.5.6 或更高版本，则可以按如下方式使用 mmsequence。

module(load="mmsequence")
if ($programname == "myprog") and ($msg contains "Bad Conn1")
then {
    action(
        type="mmsequence"
        mode="key"
        key="connection1"
        step="1"
        var="$!counter1"
    )
    if ($!counter1 > 1) then stop;
}
if ($programname == "myprog") and ($msg contains "Good Conn1")
then {
    action(
        type="mmsequence"
        mode="key"
        key="connection1"
        step="1"
        to="1"
        var="$!counter1"
    )
}

请注意，mmsequence 在 rsyslog v8 中被标记为“已弃用”。文档指出您应该改用“全局变量”。但是，在文档中搜索全局变量并没有提供关于如何使用这些神秘的“全局变量”的信息。

rsyslogd - 如何丢弃重复的警报“X”，除非警报“Y”发生在其间（保留上下文）

答案1

相关内容