Я пытаюсь настроить удаленный хост журнала для своих серверов (все CentOS 8). Я добавил это на свой центральный сервер
if $fromhost-ip == '123.123.123.123' then /var/log/{{hostname}}.log
Также я изменил конфигурацию своего клиента на
*.* @@321.321.321.321:514/var/log/{{hostname}}.log
Но когда я пытаюсь бежать:
sudo logger "test"
Он регистрируется в /var/log/hostname.log и / var / log / messages на моем центральном удаленном сервере.
Он также заполняет пользовательский файл журнала
pam_unix(sudo:session): session opened for user root by admin(uid=0)
log message here
pam_unix(sudo:session): session closed for user root
Как мне настроить мои журналы только для отправки в мой собственный файл журнала? И как мне отфильтровать эти pam-сообщения, чтобы они не включались?
Спасибо
Ведение журнала в нескольких местах вполне разрешено, поэтому, если вы не меняли конфигурацию по умолчанию, которая регистрирует большинство вещей в /var/log/messages
, то они будут продолжать регистрироваться там.
Конфигурационный файл /etc/rsyslog.conf
содержит, среди прочего:
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
Вы можете добавить фильтр на основе свойств для удаления сообщений после того, как вы их один раз зарегистрировали, на основе различные свойства сообщения. Например: после однократного протоколирования фильтр на основе свойств отбросит сообщение, не позволяя более поздним конфигурациям регистрировать его (тильда означает отбрасывать сообщение и не обрабатывать его дальше):
:fromhost-ip, isequal, '123.123.123.123' /var/log/{{hostname}}.log
:fromhost-ip, isequal, '123.123.123.123' ~
Вы получаете сообщения pam, потому что вы использовали sudo
не потому что ты сбежал logger
. Вы будете получать их каждый раз, когда бежите sudo
. Если вы не хотите видеть их в журнале, не запускайте sudo
. Необязательно использовать sudo
бежать logger
тем не мение.