Назад | Перейти на главную страницу

Как запретить определенным процессам загрязнять журнал сообщений

У нас есть определенный процесс, связанный с Azure, который постоянно записывает в наши журналы следующее:

Aug 18 06:54:28 log-ids-vm rsyslogd-3000: omazuremds error at connect(). errno=No such file or directory

Как мы можем остановить запись определенного процесса в журнале сообщений? Или, если мы используем что-то вроде Ossec для получения журнала, как мы можем его отфильтровать?

Как мы можем остановить запись определенного процесса в журнале сообщений?

Настроив эти параметры ведения журнала для этого процесса, то есть сделать его записывать в файл, а не в STDOUT или системный журнал, или настроить уровень журнала, чтобы он был менее подробным / тихим.

В качестве альтернативы, поскольку вы, похоже, используете rsyslog:

Rsyslogd поддерживает условия фильтрации, один из которых ~ - молча отбрасывать сообщения, соответствующие определенному шаблону:

Использование отрицания может быть полезно, если вы хотите выполнить некоторую общую обработку, но исключить некоторые конкретные события. Вы можете использовать действие сброса вместе с этим. Образец будет:

*.* /var/log/allmsgs-including-informational.log :msg, contains, "informational" ~ *.* /var/log/allmsgs-but-informational.log

Не упускайте из виду тильду ~в строке 2! В этом примере все сообщения записываются в файл allmsgs-including-informational.log.
Затем все сообщения, содержащие строку «информационный»Отбрасываются. Это означает, что строки файла конфигурации под «строкой сброса» (номер 2 в нашем примере) не будут применяться к этому сообщению. Тогда все оставшиеся строки также будут записаны в файл allmsgs-but-informational.log.