Назад | Перейти на главную страницу

Журналы удаленного ведения журнала CentOS 8 как в пользовательском журнале, так и в / var / log / messages

Я пытаюсь настроить удаленный хост журнала для своих серверов (все CentOS 8). Я добавил это на свой центральный сервер

if $fromhost-ip == '123.123.123.123' then /var/log/{{hostname}}.log

Также я изменил конфигурацию своего клиента на

*.* @@321.321.321.321:514/var/log/{{hostname}}.log

Но когда я пытаюсь бежать:

sudo logger "test"

Он регистрируется в /var/log/hostname.log и / var / log / messages на моем центральном удаленном сервере.

Он также заполняет пользовательский файл журнала

pam_unix(sudo:session): session opened for user root by admin(uid=0)
log message here
pam_unix(sudo:session): session closed for user root

Как мне настроить мои журналы только для отправки в мой собственный файл журнала? И как мне отфильтровать эти pam-сообщения, чтобы они не включались?

Спасибо

Ведение журнала в нескольких местах вполне разрешено, поэтому, если вы не меняли конфигурацию по умолчанию, которая регистрирует большинство вещей в /var/log/messages, то они будут продолжать регистрироваться там.

Конфигурационный файл /etc/rsyslog.conf содержит, среди прочего:

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

Вы можете добавить фильтр на основе свойств для удаления сообщений после того, как вы их один раз зарегистрировали, на основе различные свойства сообщения. Например: после однократного протоколирования фильтр на основе свойств отбросит сообщение, не позволяя более поздним конфигурациям регистрировать его (тильда означает отбрасывать сообщение и не обрабатывать его дальше):

:fromhost-ip, isequal, '123.123.123.123' /var/log/{{hostname}}.log
:fromhost-ip, isequal, '123.123.123.123' ~

Вы получаете сообщения pam, потому что вы использовали sudoне потому что ты сбежал logger. Вы будете получать их каждый раз, когда бежите sudo. Если вы не хотите видеть их в журнале, не запускайте sudo. Необязательно использовать sudo бежать logger тем не мение.