У нас есть определенный процесс, связанный с Azure, который постоянно записывает в наши журналы следующее:
Aug 18 06:54:28 log-ids-vm rsyslogd-3000: omazuremds error at connect(). errno=No such file or directory
Как мы можем остановить запись определенного процесса в журнале сообщений? Или, если мы используем что-то вроде Ossec для получения журнала, как мы можем его отфильтровать?
Как мы можем остановить запись определенного процесса в журнале сообщений?
Настроив эти параметры ведения журнала для этого процесса, то есть сделать его записывать в файл, а не в STDOUT или системный журнал, или настроить уровень журнала, чтобы он был менее подробным / тихим.
В качестве альтернативы, поскольку вы, похоже, используете rsyslog:
Rsyslogd поддерживает условия фильтрации, один из которых ~
- молча отбрасывать сообщения, соответствующие определенному шаблону:
Использование отрицания может быть полезно, если вы хотите выполнить некоторую общую обработку, но исключить некоторые конкретные события. Вы можете использовать действие сброса вместе с этим. Образец будет:
*.* /var/log/allmsgs-including-informational.log :msg, contains, "informational" ~ *.* /var/log/allmsgs-but-informational.log
Не упускайте из виду тильду ~в строке 2! В этом примере все сообщения записываются в файл
allmsgs-including-informational.log
.
Затем все сообщения, содержащие строку «информационный»Отбрасываются. Это означает, что строки файла конфигурации под «строкой сброса» (номер 2 в нашем примере) не будут применяться к этому сообщению. Тогда все оставшиеся строки также будут записаны в файлallmsgs-but-informational.log
.