Я пытаюсь отбросить такие строки:
httpd: - - - - [03/Jun/2013:23:04:10 +0000] "-" 408 - "-" "-" 32 -
Основываясь на документации, я бы подумал, что этого будет достаточно:
:msg, contains, "408 -" ~
Я знаю, что это плохой шаблон, потому что он может соответствовать слишком многим другим вещам, но я просто пытаюсь заставить его работать. В настоящее время это не работает, строки попадают в файл журнала и на удаленный сервер.
У меня есть второй :msg, содержится ниже этого, и этот ДЕЙСТВИТЕЛЬНО работает. Является :msg по какой-то причине неправильное поле для этой строки?
Вот полный rsyslog.conf:
$ModLoad imuxsock
$ModLoad imklog.so
$ActionQueueType LinkedList # use asynchronous processing
$ActionQueueFileName srvrfwd # set file name, also enables disk mode
$ActionResumeRetryCount -1 # infinite retries on insert failure
$ActionQueueSaveOnShutdown on # save in-memory data if rsyslog shuts down
:msg, contains, "408 -" ~
:msg, contains, "enablerepo=private update" ~
*.* /var/log/messages
*.* @@logserver.mydomain
После обсуждения с разработчиками rsyslog выяснилось, что это ошибка в используемой нами версии (5.8, предоставленная Amazon через их дистрибутив Amazon Linux). Я обновился до 7.4, и проблема исчезла. Я проинформировал Amazon, и они изучают, хотят ли они перейти на 7.4 для всех в будущем.