我发送到 syslog 的消息有一些标签,如下所示:
"[date] [text here] tags:tag1,tag2,tag3 [more text here]"
我已经有一条规则,只将包含文本“tags:”的行保存到特定文件。
如果该文件只包含该消息的子字符串(在本例中仅包含日期和标签部分),那就太好了。
rsyslog 在保存消息之前可以对其进行一些处理/操作吗?
提前致谢。
答案1
是的,可以。查找信息的地方是rsyslog 文档中的 property replacer。如果标签列表的长度始终相同,则可以使用子字符串。否则,您需要使用正则表达式,例如
%消息:R:。(标签:[\S]+)。- 结尾%