我试图从 /var/log/messages 中过滤掉 audispd 日志,audispd 默认使用“user.info”发送它的日志
我目前的情况是 /etc/rsyslog.conf 在网络中的几台机器中共享,因此大多数自定义配置文件都在 /etc/rsyslog.d 中完成,我遇到的问题似乎是重定向日志确实适用于自定义配置文件,例如我的 if /etc/rsyslog.d/user.conf 有这个
user.info /var/auditd/audispd.log
& ~
它会工作得很好,但是对于像下面的示例这样的过滤将不会产生任何效果,即使如果我放入我试图避免的主要配置文件,相同的语法肯定会起作用:
user.!=info /var/log/messages
& ~
旁注服务器正在使用 Rsyslog 5.8.10
PS:对不起我的英语不好,因为它不是我的主要语言:)
谢谢
问候
Z