У меня проблема с rsyslog, который дублирует журналы. Я настроил rsyslog для получения журналов с удаленных серверов - Windows (установил службу, конвертирующую события в syslog) и Linux. Для этого я добавил следующие строки в rsyslog.conf, как здесь:
# REMOTE RULES #if $ fromhost-ip == 'xx.xxx.xxx.xxx' тогда /var/log/RemoteSystems/remote1/remote1.log & ~ # if $ fromhost-ip == 'xx.xxx.xxx.xxy' то / var / log / RemoteSystems / remote2 / remote2.log & ~ # ............
Я хотел бы получать логи только в этих файлах - remote1.log и remote2.log, но некоторые логи также дублируются в auth.log, syslog, kern.log.
Остальные 2 файла conf в rsyslog.d используются по умолчанию для Ubuntu.
Большое спасибо.
С сайта rsyslog: http://www.rsyslog.com/doc/v8-stable/concepts/multi_ruleset.html
если $ fromhost-ip == '192.168.152.137', то {действие (type = "omfile" file = "/ var / log / remotefile02") stop}