Rsyslog集中日志管理：分离本地日志

Question

Rsyslog集中日志管理：分离本地日志

4

我有一台 Rsyslog 中央服务器，多台机器向其发送日志文件，并存储这些日志文件的机器IP。

$template DailyPerHostLogs,"/var/log/remote/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
*.* -?DailyPerHostLogs

这个在技术上可以运行，但是所有的日志都会被发送到日志中心机器，例如：

/var/log/messages
/var/log/auth 
/var/log/cron

什么是防止此类问题发生的最佳方法？

谢谢。

- user3158262

2个回答

0

如果我理解你的问题正确，你不会在本地机器上保存日志。

要做到这一点，您必须从/etc/syslog.conf中删除描述本地日志文件的所有行，并仅留下发送日志的行。

- Igor Chubin

抱歉我一开始没有表达清楚。你误解了。我是在谈论这个中央syslog服务器本身。问题是远程日志也混杂在机器的本地syslog中。虽然它们按IP地址分开，但它们进入了机器的主日志文件。 - user3158262

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- user3158262 · Accepted Answer

解决了，必须先放置远程日志接受规则，然后再执行以下操作：

## before going to local log rules, drop remote logging, it's been
## processed in the "central logging" section
#
:hostname, !isequal, "biglogserver"       ~

然后是rsyslog.conf文件的其余部分。