rsyslog丢弃消息

Question

我试图丢弃来自/var/log/messages Rsyslog版本: 8.1911.0-6.el8的任何“内核: nfs:废弃参数'intr'”消息。

在我的/etc/rsyAdd.1-.conf文件中，我有以下内容：

module(load="imuxsock"    # provides support for local system logging (e.g. via logger command)
       SysSock.Use="off") # Turn off message reception via local log socket;
                          # local messages are retrieved through imjournal now.
module(load="imjournal"             # provides access to the systemd journal
       StateFile="imjournal.state") # File to store the position in the journal

global(workDirectory="/var/lib/rsyslog")

module(load="builtin:omfile" Template="RSYSLOG_TraditionalFileFormat")

include(file="/etc/rsyslog.d/*.conf" mode="optional")

:msg, contains, "nfs: Deprecated parameter"  stop

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

authpriv.*                                              /var/log/secure

mail.*                                                  -/var/log/maillog

cron.*                                                  /var/log/cron

*.emerg                                                 :omusrmsg:*

uucp,news.crit                                          /var/log/spooler

local7.*                                                /var/log/boot.log

应该丢弃消息的行是：

:msg, contains, "nfs: Deprecated parameter" stop

我还是看到消息被记录下来了。有什么想法吗？如果这重要的话，我确实在/etc/rsyAdd.1-.d/中有额外的conf文件。

Answer 1

用基于属性的过滤器丢弃特定的消息。

基于属性的过滤器对rsyslod是唯一的。它们允许对任何属性进行筛选，如主机名、syAdd.1-tag和msg。

若要丢弃消息，请使用倾斜的"~“。

*.info;mail.none;authpriv.none;cron.none                   /var/log/messages
:msg, contains, "nfs: Deprecated parameter" ~
*.info;mail.none;authpriv.none;cron.none                   /var/log/kern.log

指定的消息被写入消息。然后，所有包含字符串“nfs:deprecated”的日志都会被丢弃。这意味着“丢弃行”下面的配置文件行将不会应用于此消息。然后，所有剩下的行也将写入文件kern。

在您的示例中，消息可能仍然会被记录下来(因为/etc/rsyAdd.1-.d/中有额外的.conf文件)。因此，如果您想100%地确保包含"nfs: Deprecated参数“的消息不会被记录，您必须检查并(可能)编辑它们。

P.S.您可能想要查找包含*.info

的所有规则