1、 RULES-书写规则

格式:日志设备(类型).日志级别             日志处理方式

(1)日志类型分类

auth

pam产生的日志

authpriv

ssh,ftp等登录信息的验证信息

cron

时间任务相关

kern

内核

lpr

打印

mail

邮件

mark(syslog)

rsyslog服务内部的信息,时间标识

news

新闻组

user

用户程序产生的相关信息

uucp

unix主机之间相关的通讯

local 1~7

自定义的日志设备(类型)

(2)日志级别分类

debug

有调试信息的,日志信息最多

info

一般信息的日志,最常用

notice

最具有重要性的普通条件的信息

warning

警告级别

err

错误级别,阻止某个功能或模块不能正常工作的信息

crit

严重级别,阻止整个系统或整个软件不能正常工作的信息

alert

需要立即修改的信息

emerg

内核崩溃等严重信息

none

什么都不记录

备注:从上到小,级别由低到高,记录的信息也越来越少。

(3)连接符号

.xxx

表示大于等于xxx级别的信息

.=xxx

表示等于xxx级别的信息

.!xxx

表示在xxx之外的等级的信息

(4)演示

记录到普通文件或设备文件

*.*   /var/log/file.log                                #绝对路径

*.*   /dev/pts/0

转发到远程

*.*   @192.168.0.1                                   #UDP

*.*   @@192.168.0.1:10514                   #TCP

发送给用户(在线用户才生效)

*.*    root

*.*    root,test                                            #多个用户使用英文逗号分开

*.*    *                                                         #*表示所有在线用户

忽略,丢弃

local3.*   ~                  #忽略所有local3类型的所有级别的日志

执行脚本

local3.*   ^/tmp/a.sh          #^后跟可执行脚本或程序的绝对路径

#日志内容可作为脚本的第一个参数

触发报警

.. note::

备注:日志记录的顺序有先后关系

2、实例

(1)过滤日志,由:号开头

:msg,contains,       "error"     /var/log/error.log

:msg,contains,        "error"    ~

:msg,contains,        "user vicky"     ~

:msg, contains,       "module-alsa-sink.c: ALSA woke us up to write new data to the device, but there was actually nothing to write"    ~

local3.*                   ~

&                             ~                  #忽略所有日志

(2)使用模板来定义日志格式

  • 默认模板格式:
$template myFormat, "%rawmsg%\n"
  • 定义模板格式:

  详见文档rsyslog的模板

  • 为规则使用模板:
cron.*          /var/log/cron;myFormat          #分号后面添加模板名

(3)远程发送和接收

*.*   @192.168.0.1                          #UDP

*.*   @@192.168.0.1:                   #TCP

client端:配置发送到哪里,有无端口,使用什么协议发送

server端:配置使用什么协议监听哪个端口,收到的日志保存到哪里

(4)作为server端,将不同client端发送过来的日志保存到不同的文件

:FROMHOST-IP,isequal,          "192.168.0.3"                   /var/log/host3.log

:FROMHOST-IP,isequal,          "192.168.0.133"               /var/log/host133.log

:FROMHOST-IP,startwith,      "192.168.1."                      /var/log/network1.log

:FROMHOST-IP,startwith,      "192.168.2."                      /var/log/network2.log

Rsyslog-legacy(旧版本语法)配置说明及举例的更多相关文章

  1. 新版本的bettercap不好用, 如何安装和编译旧版本的bettercap

    新版本的bettercap2.0以上是用go语言写的, 各种功能感觉还不太完善, 没有原来的用ruby写的好, 想着回退安装bettercap1.6旧版本 系统环境: kali 2017.2 下载源码 ...

  2. 下载旧版本的NDK

    在官网找不到旧版本的下载地址,只能取巧了. 写该随笔的时候,NDK最新的版本是r12,见 https://developer.android.com/ndk/downloads/index.html# ...

  3. ASP.NET 5 DNX SDK删除旧版本

    ASP.NET 5各种升级后旧版本的DNX不会删除,想删除旧版本的DNX,可以通过以下命令完成 首先打开CMD或者Powershell 1.先输入dnvm看看命令中是否有uninstall 2.如果没 ...

  4. Android新旧版本Notification

    Android新旧版本Notification 在notification.setLatestEventInfo() 过时了 以前: NotificationManager mn = (Notific ...

  5. 删除ubuntu旧版本内核

    方法一: 1.查看系统下可使用的内核有哪些 dpkg --get-selectiongs|grep linux-image liming@CM:~$ dpkg --get-selections|gre ...

  6. coreData旧版本增加字段,新版本是否可以继续使用旧版本内容的测试(MagicalRecord的使用)

    coreData使用第三方库MagicalRecord, 参考文章:http://blog.csdn.net/kuizhang1/article/details/21200367 coreData数据 ...

  7. C#winform程序安装时自动卸载新版本覆盖旧版本

    vs2005为winform程序做的安装包.在以有程序旧版本的机子上用新版本的安装包安装软件时提示  “以经安装该产品的另一个版本.无法继续安装此版本........” 在安装部署项目中设“Remov ...

  8. 导入旧版本Android项目时的“Unable to resolve target ‘android

    在Ecplise + ATD + Android SDK的开发中,导入旧版本的Android项目时,往往会出现类似的如下错误 Error:Unable to resolve target 'andro ...

  9. IE下判断IE版本语法使用

    先摆一下判断IE版本语法 <!--[if lte IE 6]> <![endif]--> IE6及其以下版本可见 <!--[if lte IE 7]> <![ ...

随机推荐

  1. php ajax confirm 删除

    <button name="del" type="button" class="btn btn-primary btn-xs" id= ...

  2. SparkR链接mysql数据库(踩坑)

    本文主要讲述sparkR链接Mysql的过程和坑. SparkR的开发可以用RStudio工具进行开发,连接spark可以通过RStudio界面中的Connections进行配置连接;具体方法这里不做 ...

  3. PTA基础编程题目集6-5求自定类型元素的最大值 (函数题)

    原题目: 本题要求实现一个函数,求N个集合元素S[]中的最大值,其中集合元素的类型为自定义的ElementType. 函数接口定义: ElementType Max( ElementType S[], ...

  4. Python之路(三)

    今天这篇文章是对上一篇文章的补充,主要说一下与int和str有关的几个函数. ------------------------------------------------------------( ...

  5. 20155223 2016-2017-2《Java程序设计》课程总结

    20155223 2016-2017-2<Java程序设计>课程总结 每周作业链接汇总 预备作业1 预备作业2 预备作业3 第一周 第二周 第三周 第四周 第五周 第六周 第七周 第八周 ...

  6. WPF RoutedEvent and HitTest - 简书

    原文:WPF RoutedEvent and HitTest - 简书 学习的时候切忌心浮气躁,慢慢的过每一个知识点,不要漏掉任何细节.不然当遇到细节问题的时候,会恼,会闹,会悔不该当初--花一下午调 ...

  7. WPF MVVM从入门到精通3:数据绑定

    原文:WPF MVVM从入门到精通3:数据绑定   WPF MVVM从入门到精通1:MVVM模式简介 WPF MVVM从入门到精通2:实现一个登录窗口 WPF MVVM从入门到精通3:数据绑定 WPF ...

  8. debug 调试原理理解

    引言: 昨天,看了一篇文章,很受启发,记得之前听别的人远程调试过代码,觉得很神奇,在自己程序里打断点,连接远程服务器,开启调试后可以调用远程方法来看数据的输入和输出,不需要查找问题,重新部署,测试问题 ...

  9. BZOJ1597_土地购买_KEY

    题目传送门 一道斜率优化的题目. 但暴力方程很关键. 我们先将x作为关键字Sort一遍,再将y处理成单调递减,即把无用的土地去除. f[i]=f[j]+a[i]*b[j+] -a[i]*b[j+]+f ...

  10. rem布局注意问题和meta标签

    使用rem前的准备: 如果是移动端,添加name="viewport"的meta标签,其中的属性数值根据实际需求而定: <meta name="viewport&q ...