Я всегда использовал Syslog-NG для ведения журнала, но мои руки связаны, и мне приходится использовать rsyslog, с чем я не слишком хорошо знаком.
Я в основном понимаю, как его настроить, однако один из способов, которым я хочу это сделать, - это категоризация по типу устройства, то есть журналы устройств Linux попадают в папку Linux, то же самое для Windows и т. Д.
С помощью Syslog-NG я смог сделать это, установив другой порт для каждого типа устройства, а затем попросив Syslog-ng поместить его в правильную папку рядом с портом.
Я не могу найти способ сделать это в rsyslog. Я пробовал шаблоны, но все, что я делал, это помещал все в папку linux и все в папку Windows, по сути дублируя. Я пробовал с фильтрами, но и с этим ничего не добился.
Во-первых, кто-нибудь знает, можно ли таким образом классифицировать журналы? И если да, не могли бы вы указать мне правильное направление?
Если вы хотите вводить данные с заданного порта tcp для перехода к одному файлу журнала и со второго порта tcp для перехода к другому, проверьте Несколько наборов правил. Пример Разделение локального и удаленного журналирования для трех разных портов сокращение до 2 портов TCP 10514 и 10515 дает вам:
ruleset(name="remote10514"){
action(type="omfile" file="/var/log/fileA")
}
ruleset(name="remote10515"){
action(type="omfile" file="/var/log/fileB")
}
input(type="imptcp" port="10514" ruleset="remote10514")
input(type="imptcp" port="10515" ruleset="remote10515")
Внутри каждого ruleset(){...} вы можете использовать любую обычную дополнительную фильтрацию и создание шаблонов.