rsyslog 文档非常不清楚。我只想将审核日志中的错误转发到远程 rsyslog 服务器。示例显示:
# auditd audit.log
$InputFileName /var/log/audit/audit.log
$InputFileTag tag_audit_log:
$InputFileStateFile audit_log
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor
将“InputFileSeverity”设置为信息时,这是否意味着审核日志中的所有条目都将显示为信息(包括错误)?或者,如果我将其设置为“错误”,这是否意味着包括信息在内的所有条目都将显示为错误级别?
我只想看到转发的错误。我觉得我真的缺少如何设置这个简单配置的底层机制。
答案1
假设您使用 rsyslog 的文本文件输入模块,则 InputFileSeverity 参数定义存储在 rsyslog 中的严重性,而不是audit.log 文件中捕获的消息的严重性。文件输入模块不会为您过滤。您应该将auditd配置为仅捕获audit.log文件中的“错误”级别严重性,然后将inputfileseverity设置为错误,并且rsyslog将在错误级别严重性下捕获audit.log中的错误。