rsyslog配置文件语法详解

rsyslog的配置文件为 /etc/rsyslog.conf , 大多数日志文件都位于 /var/log/ 目录中。
/etc/rsyslog.conf 文件，在配置文件中，我们通过配置 filter 以及 action 对日志进行管理。

例子

filter        action
cron.*      /var/log/cron #cron日志存在此路径
local5.info  @1.1.1.1 #local5 info日志发送到远端服务器
:fromhost,isequal, "1.1.1.1" /logs/1.log #来自1.1.1.1的日志存到此文件
:fromhost,regex, "1.1.2.[0-9]" /logs/2.log #正则匹配来源IP存到文件

Filter

基于属性的过滤器语法

:PROPERTY, [!]COMPARE_OPERATION, "STRING"

比较操作	描述
contains	匹配提供的字符串值是否是属性的一部分，如果不区分大小写，使用contains_i
isequal	比较属性和值是否相等
startswith	属性是否以指定字符串开始(startswith_i)
regex	正则表达式(POSIX BRE 基本正则)匹配
ereregex	正则表达式(POSIX ERE 扩展正则)匹配
isempty	判断属性是否为空，不需要 value

Action

1保存日志到日志文件：FILTER PATH
2通过网络发送syslog @1.1.1.1:514
3丢弃日志：要丢弃日志消息，使用~动作。