Назад | Перейти на главную страницу

фильтр rsyslog для средства authpriv в rsyslog.conf

Это было рассмотрено в других сообщениях, но я все еще не могу заставить это работать должным образом.

Я пытаюсь опустить (исключить) некоторые записи из записи в " /var/log/secure ".

А именно, любая строка, содержащая определенные доверенные IP-адреса, в этом примере " IP = 10.10.10.10 ".

Насколько я понимаю, использование такого выражения REGEX должно помочь, но я думаю, что у меня проблема с размещением в файле:

if $syslogfacility-text == 'authpriv' and $msg !contains '10.10.10.10' then /var/log/secure
    &~



Вот что я до сих пор пробовал в своем /etc/rsyslog.conf файл:
#rsyslog v3 файл конфигурации

# if you experience problems, check
# http://www.rsyslog.com/troubleshoot for assistance

#### MODULES ####

$ModLoad imuxsock.so    # provides support for local system logging (e.g. via logger command)
$ModLoad imklog.so  # provides kernel logging support (previously done by rklogd)

#### GLOBAL DIRECTIVES ####

# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

#### RULES ####

if $syslogfacility-text == 'authpriv' and $msg !contains '10.10.10.10' then /var/log/secure
&~

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none           /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                             /var/log/secure



Еще одно небольшое изменение файла rsyslog.conf выглядит следующим образом, поскольку я прочитал, в каком порядке появляется это правило:

#rsyslog v3 config file

# if you experience problems, check
# http://www.rsyslog.com/troubleshoot for assistance

#### MODULES ####

$ModLoad imuxsock.so    # provides support for local system logging (e.g. via logger command)
$ModLoad imklog.so  # provides kernel logging support (previously done by rklogd)

#### GLOBAL DIRECTIVES ####

# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

#### RULES ####

if $syslogfacility-text == 'authpriv' and $msg !contains '10.10.10.10' then /var/log/secure
&~

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none           /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                             /var/log/secure
if $syslogfacility-text == 'authpriv' and $msg !contains '10.10.10.10' then /var/log/secure
&~

Я пробовал много других способов, но не хочу засорять этот пост слишком большим количеством вариаций.

Еще один важный момент: мне нужно убедиться, что ДРУГИЕ файлы журналов через rsyslog Однако во всей системе ЕЩЕ отслеживается этот IP-адрес.

По сути, просто опустите любую строку, содержащую "10.10.10.10" из " /var/log/secure "