格式化rsyslog消息-删除logserver的IP

Question

我们的正在接收一些日志服务器发送的日志--这些日志服务器在转发给的每条消息中都写入自己的IP。现在，我想通过我的Archive的rsyslog配置，从每个Logmessage中“剪切”他们的IP-Adress和"src@“。

示例：

192.168.0.12是我的日志之一--服务器/ Foo是“真正的”源-IP，翻译成它的DNS-名称

• 错误的8月23日10:00:01 192.168.0.12 src@Foo日志数据
• 右8月23日10:00:01 Foo logdata日志数据

一开始我以为我可以用“字段”和空格作为分隔符，但我想，当我想删除src@时，我也会删除我真正的Source的DNS名称。如果可能的话，我很乐意使用sed，但我不知道如何在我的rsyslog.conf中实现它

sed 's/\(192.168.0.12 @src\)//'

应该行得通。

_________UPDATE________

有一个很有前途的功能叫做“替换”，但我似乎根本无法让它发挥作用。

https://www.rsyslog.com/doc/v8-stable/rainerscript/functions.html#replace-str-substr-to-replace-replace-with

if ( $fromhost-ip == '192.168.0.12' ) then {

   replace($msg, "@src", " ")
   -/var/log/foo.log
   stop
}

Msgs是用foo.log编写的--但是没有任何东西被替换。

Answer 1

我让它和模板一起工作。由于日志服务器正在插入他自己的IP，我只需“删除”%主机名%，它就完成了。

template template_name,"%timegenerated% %progname% %msg%"   
if fromhost-ip == '192.168.0.12' then {   
   /var/log/foo.log,template_name   
   stop

}