У меня есть несколько серверов с rsyslog, настроенных для записи журналов на удаленный сервер syslog-ng, настроенный следующим образом:
# Log anything of level info or higher.
# Don't log private authentication messages!
*.info;authpriv.none @<IP-SERVER>
# The authpriv file has restricted access.
authpriv.* @<IP-SERVER>
и настроен сервер syslog-ng:
destination d_remote {
file ("/var/LOG/$HOST-$YEAR$MONTH$DAY");
};
но с этой конфигурацией клиент записывает оба журнала в один и тот же файл.
Можно ли настроить клиент (я не могу изменить сервер syslog-ng) для разделения журналов на разные файлы?
Для этого вам придется изменить конфигурацию сервера syslog-ng (в основном, вам нужен фильтр, который разделяет различные типы журналов на отдельные файлы).
Уродливый взлом на стороне клиента может заключаться в кодировании этой информации в поле HOST сообщения журнала (чтобы сервер считал их исходящими с разных хостов), но я не знаю, возможно ли это в rsyslog или нет .