У нас есть сервер rsyslog, настроенный для пересылки сообщений на наш ящик Splunk. Тем не менее, мы хотим сократить часть шума, поэтому мы создали специальные программы, чтобы игнорировать их. Так что в основном, если логи dhcpd, отбросьте. Вперед все остальное.

if $programname != 'dhcpd' then @@0.0.0.0:514

Есть ли способ также исключить определенные имена хостов на основе слов в этих именах хостов. Так, например:

hostname-ABC1.log <--- exclude
hostname2-ABC1.log <--- exclude
reghostname <---- keep and forward

Версия 5.8.10

1 ответ1

0

Было бы лучше, если бы вы загружали журналы в Splunk, а затем ваш UniversalFowarder или Indexer отбрасывали то, что вам нужно. Это гораздо проще настроить с помощью Splunk, чем модифицировать rsyslog. Вы можете сделать это с помощью реквизита и трансформации.

Настройте то, что вам нужно в props.conf. Затем transforms.conf.

То, что я хотел бы сделать, это использовать регулярные выражения.

В вашем props.conf:

[source::udp:514]
TRANSFORMS-drop_hosts = drop_ABCHOSTS

В вашем transforms.conf:

[drop_ABCHOSTS]
SOURCE_KEY = Metadata:Host
REGEX = ABC1\.log
DEST_KEY = queue
FORMAT = nullQueue

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .