Eu quero impedir que o rsyslog registre essas mensagens.
[168707.740364] TCP: Peer 192.168.100.1:46199/41503 unexpectedly shrunk window 2027330493:2027331431 (repaired)
Eu tentei isso no /etc/rsyslog.conf, mas as mensagens ainda estão registradas.
if $msg contains 'unexpectedly' then /dev/null
Alguém pode me apontar na direção certa?
Se você usa uma versão recente do rsyslog (7 por exemplo), você precisa fazer
& stop
depois da sua mensagem. Não fazer isso lhe dará
warning: ~ action is deprecated, consider using the 'stop' statement instead [try http://www.rsyslog.com/e/2307 ]
O rsyslog precisa de uma instrução para parar o registro após a correspondência. Adicione esta linha imediatamente após a instrução if que você já possui.
& ~
Você também pode precisar mover ambas as instruções para cima no arquivo conf de modo que elas sejam analisadas antes de algumas das outras instruções que possam estar sendo registradas em mensagens. Eu mudo a configuração do meu rsyslog para parecer com o seguinte
/etc/rsyslog.conf ($IncludeConfig /etc/rsyslog.d/*.conf)
/etc/rsyslog.d/40-specificdaemon.conf
/etc/rsyslog.d/99-general.conf
Isso garante a ordem que eu quero e facilita o envio de atualizações pelo gerenciamento de configurações.
O comando é "$ stop", não "$ stop". Há uma diferença enorme lá.
Tags rsyslog