Конфігураційні файли Rsyslog розташовані у: /etc/rsyslog.d/*.conf
Rsyslog читає конф-файли послідовно, тому важливо, щоб ви назвали свій конфігураційний файл, щоб певний конфігуратор завантажувався до того, як щось інше відбудеться. Отже, назвіть свій файл, починаючи з ведучого нуля, тобто00-my-file.conf . Краще створити новий файл, щоб оновлення тощо не переписували локальну конфігурацію.
Приклад:
if $programname == 'programname' and $msg contains 'a text string' and $syslogseverity <= '6' then /var/log/custom/bind.log
Або якщо ви просто хочете скасувати певні записи:
if $programname == 'programname' then ~
У вашому випадку: (UDP)
if $programname == 'programname' then @remote.syslog.server
& ~
Або (TCP)
if $programname == 'programname' then @@remote.syslog.server
& ~
Засіб & ~зупинити обробку відповідності (лише попередній рядок!) Записує далі.
Ще кілька загальних відомостей:
Також завжди переконайтеся, що фільтри знаходяться в одному рядку:
# Example: Log mail server control messages to mail-queue.log
if $hostname == 'titus'\
and $programname == 'smtp.queue.'\
and $syslogseverity <= '6' then /var/log/titus/mail-queue.log
& ~
Корисні фільтри:
$hostname
$programname
$msg
$syslogseverity
Оператори:
== (equals)
contains
and
or
Більше інформації: http://wiki.rsyslog.com/index.php/Configuration_Samples