Kleine Frage zu Rsyslog

[Crogge]

Ich würde gerne ein paar Einträge die häufig vorkommen aus den Logs herausfiltern und stattdessen in mein tmpfs schreiben lassen. Dazu habe ich folgende Datei in /etc/rsyslog.d erstellt:

Code: Alles auswählen

# Filter the cronjob and samba spam
:msg, contains, "pam_unix(cron:session):" -/tmp/crontab.log
:msg, contains, "/usr/lib/php5/maxlifetime" -/tmp/crontab.log
:msg, contains, "/usr/sbin/anacron" -/tmp/crontab.log
:msg, contains, "(debian-sa1)" -/tmp/crontab.log
:msg, contains, "lib/util_sock.c:474(read_fd_with_timeout)" -/tmp/samba.log
:msg, contains, "lib/util_sock.c:1441(get_peer_addr_internal)" -/tmp/samba.log
:msg, contains, "getpeername" -/tmp/samba.log
:msg, contains, "read_fd_with_timeout:" -/tmp/samba.log
& ~

Leider werden die Nachrichten weiterhin in die Auth.log geschrieben und nicht wie geplant nur in die crontab.log / samba.log. Wie kann ich rsyslog dazu zwingen nur noch in die crontab.log / samba.log zu schreiben?

[rendegast]

Hier fange ich su-Logins "pam_unix(su:session): session opened for user root by" ab
mit Deiner Konfig.

Hast Du den rsyslogd neu gestartet?

Code: Alles auswählen

/etc/init.d/rsyslog restart

Heißt die Datei /etc/rsyslog.d/nix_besonderes.conf ?

Code: Alles auswählen

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf

Das abschließende '& ~'

...
:msg, contains, "read_fd_with_timeout:" -/tmp/samba.log
& ~

gilt nur für die Anweisung (selector) direkt darüber.
Würde also bei jedem Deiner selectoren benötigt.

[Crogge]

...

Das abschließende '& ~'

...
:msg, contains, "read_fd_with_timeout:" -/tmp/samba.log
& ~

gilt nur für die Anweisung (selector) direkt darüber.
Würde also bei jedem Deiner selectoren benötigt.

Genau das war das Problem, die Konfiguration (/etc/rsyslog.d/filter.conf) sieht nun folgendermaßen aus:

Code: Alles auswählen

# Filter the cronjob and samba spam
:msg, contains, "pam_unix(cron:session):" -/tmp/crontab.log
& ~
:msg, contains, "/usr/lib/php5/maxlifetime" -/tmp/crontab.log
& ~
:msg, contains, "/usr/sbin/anacron" -/tmp/crontab.log
& ~
:msg, contains, "(debian-sa1)" -/tmp/crontab.log
& ~
:msg, contains, "lib/util_sock.c:474(read_fd_with_timeout)" -/tmp/samba.log
& ~
:msg, contains, "lib/util_sock.c:1441(get_peer_addr_internal)" -/tmp/samba.log
& ~
:msg, contains, "getpeername" -/tmp/samba.log
& ~
:msg, contains, "read_fd_with_timeout:" -/tmp/samba.log
& ~

Nun werden die Logs in die entsprechenden Dateien geschrieben statt in die normalen Systemlogs. Vorschläge zur Verbesserung der Konfiguration sind willkommen.

Ich bedanke mich für die schnelle Antwort