我正在尝试将新的应用程序日志转发到已设置为将其日志发送到远程 syslog 服务器的主机。我按照以下说明进行操作:http://www.rsyslog.com/doc/v7-stable/configuration/modules/imfile.html
日志文件由应用程序编写,不使用任何 syslog 工具。
在发送方,我添加了以下两行/etc/rsyslog.conf:
$ModLoad imfile
$InputFilePollInterval 10
/etc/rsyslog.d/applogger.conf我添加了一个包含以下内容的文件。
input(type="imfile"
File="/var/log/applog"
Tag="applogger"
StateFile="statefile2")
日志被转发到中央日志系统,但它们也被复制/var/log/syslog到/var/log/messages发送主机,日志中充斥着大量额外消息。上面的链接提到了重复条目,但这与 applogs 的唯一文件名有关。这是系统上唯一一个具有此名称的文件。
我必须使用rsyslog它,因此简单地用它来替换syslog-ng不是一个选择。
我怎样才能转发条目/var/log/applog而不重复其他日志中的条目?
答案1
需要将此行添加到 applogger.conf。在 applog 消息条目中找到的任何唯一关键字都可以使用。
:msg, contains, "appname" stop
答案2
centos stream9 已经按照contains过滤,日志不会写入messages,但同时不会转发