Я пытаюсь добавить новый журнал приложения на хост, который уже настроен для отправки журналов на удаленный сервер системного журнала. Я следую инструкциям здесь: http://www.rsyslog.com/doc/v7-stable/configuration/modules/imfile.html
Файл журнала записывается приложением и не использует никаких средств системного журнала.
На отправителе я добавил эти две строки в /etc/rsyslog.conf:
$ModLoad imfile
$InputFilePollInterval 10
Я добавил файл в /etc/rsyslog.d/applogger.conf с содержанием ниже.
input(type="imfile"
File="/var/log/applog"
Tag="applogger"
StateFile="statefile2")
Журналы пересылаются в центральную систему ведения журналов ОК, но они также реплицируются в /var/log/syslog и /var/log/messages на отправка host, загромождая журналы множеством лишних сообщений. В приведенной выше ссылке упоминаются повторяющиеся записи, но это касается уникальных имен файлов для журналов приложений. Это единственный файл в системе с таким именем.
Я должен использовать rsyslog для этого просто замените его на syslog-ng не вариант.
Как я могу переслать только записи в /var/log/applog без дублирования записей в других журналах?
Необходимо добавить эту строку в applogger.conf. Любое уникальное ключевое слово, найденное в записи сообщения журнала приложений, будет работать.
:msg, contains, "appname" stop