我正在寻找一种方法来编写具有多个匹配值的单个规则,如果消息包含第一个单词或第二个单词,则不要将这些行写入日志文件。
这可行但不是 DRY:
if $msg contains "WARNING:" then { Action (type="omfile" File="/var/log/ignorethis") stop }
if $msg contains "IGNORE THIS MESSAGE:" then { Action (type="omfile" File="/var/log/ignorethis") stop }
这个不起作用:
if $msg contains "WARNING: || IGNORE THIS MESSAGE:" then { Action (type="omfile" File="/var/log/ignorethis") stop }
答案1
这有用吗?
if ($msg contains "WARNING:") or ($msg contains "IGNORE THIS MESSAGE:") then { Action (type="omfile" File="/var/log/ignorethis") stop }
这rsyslog 表达式文档可能会有点帮助。