我试图丢弃这样的行:
httpd: - - - - [03/Jun/2013:23:04:10 +0000] "-" 408 - "-" "-" 32 -
根据文档,我认为这就足够了:
:msg, contains, "408 -" ~
我知道这不是一个好的模式,因为它可能匹配太多其他东西,但我只是想让它工作。目前它不起作用,这些行最终出现在日志文件和远程服务器中。
我有第二个:msg,包含以下内容,并且该内容确实有效。:msg出于某种原因,此行的字段不正确吗?
完整的内容如下rsyslog.conf:
$ModLoad imuxsock
$ModLoad imklog.so
$ActionQueueType LinkedList # use asynchronous processing
$ActionQueueFileName srvrfwd # set file name, also enables disk mode
$ActionResumeRetryCount -1 # infinite retries on insert failure
$ActionQueueSaveOnShutdown on # save in-memory data if rsyslog shuts down
:msg, contains, "408 -" ~
:msg, contains, "enablerepo=private update" ~
*.* /var/log/messages
*.* @@logserver.mydomain
答案1
与 rsyslog 开发人员协商后,我们发现我们使用的版本(5.8,由 Amazon 通过其 Amazon Linux 发行版提供)中存在错误。我升级到 7.4,问题就解决了。我通知了 Amazon,他们正在调查是否希望今后让每个人都升级到 7.4。