我试图过滤除我的配置中定义的所有系统日志消息,然后将消息发送到外部系统日志服务器。我有Ubuntu 16.04和rsyslog,我已经配置了Nextcloud来登录syslog守护进程。
我的消息(来自/ var / syslog)我想允许发送到外部syslog服务器:
Jul 11 15:55:28 test-virtual-machine ownCloud[28466]: {files_antivirus} Infected file deleted. Eicar-Test-Signature File: files/eicar(3).com.ocTransferId993388412.part Acccount: admin
我试图修改rsyslog.conf文件(该文件的其余部分是默认的):
nextcloud.* -/var/log/nextcloud.log
:msg, contains, "*Infected*" -/var/log/nextcloud3.log
nextcloud.* @remote-host:514
这根本不起作用。有人有一些投入吗?
谢谢,
我有以下目前正在工作......
在/etc/rsyslog.d/60-my-filter.conf中
:rawmsg,contains,“TAG” - / var / log / tag.log
我从上面猜测,你需要用“:rawmsg”替换“:msg”,但我不是专家。我也会尝试删除空格,或者':rawmsg,contains,“Infected” - / var / log / nextcloud3.log'
同时删除nextcloud行,直到您知道正确格式化/过滤文件,然后尝试将其添加回来。
希望这可以帮助。