В настоящее время я использую Graylog для получения журналов от моего экземпляра Pi-Hole и Snort. Однако rsyslog также отправляет все журналы, например, java, sudo и т.д.
Как я настраиваю Rsyslog только для регистрации специфичных для Snort записей и записей Pi-Hole. Больше ничего не нужно регистрировать.
Мой текущий файл /etc/rsyslog.conf выглядит так:
module(load="imuxsock") # provides support for local system logging
module(load="imklog") # provides kernel logging support
module(load="imfile" PollingInterval="10") #used for Pi-Hole logging
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$WorkDirectory /var/spool/rsyslog
#SNORT Data
*.* @127.0.0.1:5140;RSYSLOG_SyslogProtocol23Format
#PiHole Data
input(type="imfile"
File="/var/log/pihole.log"
StateFile="/var/run/pihole.log.state"
Tag="pihole"
Severity="info"
Facility="local7")