Назад | Перейти на главную страницу

rSyslog - Правило для всех (UDP) удаленных сообщений

Есть ли способ создать правило rsyslog, которое будет обрабатывать весь входящий трафик udp в другой файл (так же, как правила написаны для подсистем)

Так, например, я бы сделал что-то вроде этого

udp.* /var/log/remoteSrv

Самое близкое, что у меня есть, касалось того, как изменять файлы на основе удаленной системы, но я просто хочу знать, пришел ли журнал с локальной машины или с удаленного сервера.

http://www.rsyslog.com/storing-messages-from-a-remote-system-into-a-specific-file/

Спасибо за помощь

Вы можете использовать информацию в вашей ссылке, чтобы получить что-то вроде следующего, чтобы поместить его в начало вашего файла конфигурации:

$ModLoad imudp
$UDPServerRun 514
# do this in FRONT of the local/regular rules
if $fromhost-ip != '127.0.0.1' then /var/log/remoteSrv
& stop
# local/regular rules, like
*.* /var/log/syslog.log

Это фильтрует сообщения не с локального хоста, 127.0.0.1, в требуемый файл журнала, а затем подавляет их (stop). Затем вы можете использовать те правила, которые у вас уже есть для оставшихся сообщений, например, как указано в последней строке.