Это было рассмотрено в других сообщениях, но я все еще не могу заставить это работать должным образом.
Я пытаюсь опустить (исключить) некоторые записи из записи в " /var/log/secure
".
А именно, любая строка, содержащая определенные доверенные IP-адреса, в этом примере " IP = 10.10.10.10
".
Насколько я понимаю, использование такого выражения REGEX должно помочь, но я думаю, что у меня проблема с размещением в файле:
if $syslogfacility-text == 'authpriv' and $msg !contains '10.10.10.10' then /var/log/secure
&~
Вот что я до сих пор пробовал в своем /etc/rsyslog.conf
файл:
#rsyslog v3 файл конфигурации
# if you experience problems, check
# http://www.rsyslog.com/troubleshoot for assistance
#### MODULES ####
$ModLoad imuxsock.so # provides support for local system logging (e.g. via logger command)
$ModLoad imklog.so # provides kernel logging support (previously done by rklogd)
#### GLOBAL DIRECTIVES ####
# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
#### RULES ####
if $syslogfacility-text == 'authpriv' and $msg !contains '10.10.10.10' then /var/log/secure
&~
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
Еще одно небольшое изменение файла rsyslog.conf выглядит следующим образом, поскольку я прочитал, в каком порядке появляется это правило:
#rsyslog v3 config file
# if you experience problems, check
# http://www.rsyslog.com/troubleshoot for assistance
#### MODULES ####
$ModLoad imuxsock.so # provides support for local system logging (e.g. via logger command)
$ModLoad imklog.so # provides kernel logging support (previously done by rklogd)
#### GLOBAL DIRECTIVES ####
# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
#### RULES ####
if $syslogfacility-text == 'authpriv' and $msg !contains '10.10.10.10' then /var/log/secure
&~
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
if $syslogfacility-text == 'authpriv' and $msg !contains '10.10.10.10' then /var/log/secure
&~
Я пробовал много других способов, но не хочу засорять этот пост слишком большим количеством вариаций.
Еще один важный момент: мне нужно убедиться, что ДРУГИЕ файлы журналов через rsyslog
Однако во всей системе ЕЩЕ отслеживается этот IP-адрес.
По сути, просто опустите любую строку, содержащую "10.10.10.10
" из " /var/log/secure
"