Eu tenho o rsyslog instalado e estou ouvindo um fluxo de logs de um dispositivo.
O problema que estou tendo é que antes de começar a salvar as linhas de log do próprio dispositivo, algumas linhas são geradas que correspondem ao próprio rsyslog.
Alguém pode me dizer como evitar o armazenamento dessas linhas de log do rsyslog, por favor.
2017-10-24T10:06:34.154576+02:00 server01 systemd: Stopping System Logging Service...
2017-10-24T10:06:34.162868+02:00 server01 rsyslogd: [origin software="rsyslogd" swVersion="8.24.0" x-pid="20241" x-info="http://www.rsyslog.com"] exiting on signal 15.
2017-10-24T10:06:34.220188+02:00 server01 systemd: Stopped System Logging Service.
2017-10-24T10:07:25.999915+02:00 server01 systemd: Starting System Logging Service...
Atualmente, no arquivo de configuração, testei esses dados, mas ainda armazena as linhas do rsyslog que não me interessam.
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
*.info;mail.none;auth.none;authpriv.none;cron.none;local0.none;kern.none action(type="omfile" file="/var/log/mylogs")
Você precisa do operador de descarte (~) para o rsyslog. Por exemplo, o seguinte é uma maneira de descartar essa mensagem:
:msg,contains,"Stopping System Logging" ~
Além disso, você precisa verificar qual ordem essas regras estão sendo avaliadas. Sugiro criar um arquivo separado como /etc/rsyslog.d/01-discard.conf e, em seguida, colocar a instrução de descarte lá. Basicamente, você precisa ter certeza de que o descarte seja avaliado antes de todo o resto.
Tags rsyslog