rsyslog exclui logs com base no nome do host

0

Temos nosso servidor rsyslog configurado para encaminhar mensagens para nossa caixa do Splunk. No entanto, queremos reduzir alguns dos ruídos, por isso criamos programas específicos para desconsiderar. Então, basicamente, se os logs são dhcpd, solte. Encaminhar tudo mais.

if $programname != 'dhcpd' then @@0.0.0.0:514

Existe uma maneira de também excluir certos nomes de host baseados em palavras nesses nomes de host. Então, por exemplo:

hostname-ABC1.log <--- exclude
hostname2-ABC1.log <--- exclude
reghostname <---- keep and forward

Versão 5.8.10

    
por deadlisting 02.08.2016 / 21:29

1 resposta

0

Seria melhor ingerir os logs no Splunk e fazer com que o UniversalFowarder ou o Indexer descarte o que você precisa. É muito mais fácil ajustar isso com o Splunk e depois modificar o rsyslog. Você pode fazer isso com adereços e transforma.

Defina o que você precisa em props.conf Então o transforms.conf

O que eu faria é usar o regex.

No seu props.conf:

[source::udp:514]
TRANSFORMS-drop_hosts = drop_ABCHOSTS

Em seu transforms.conf:

[drop_ABCHOSTS]
SOURCE_KEY = Metadata:Host
REGEX = ABC1\.log
DEST_KEY = queue
FORMAT = nullQueue
    
por 10.08.2016 / 19:57

Tags