我试图放弃这样的行:
httpd: - - - - [03/Jun/2013:23:04:10 +0000] "-" 408 - "-" "-" 32 - 基于这些文档,我认为这样做就足够了:
:msg, contains, "408 -" ~
我知道这不是一个好的模式,因为它可以匹配太多其他的东西,但我只是想让它工作。 目前它不起作用,行结束在日志文件和远程服务器。
我有第二个:msg ,包含在下面,那一个工作。 是:msg由于某种原因, :msg不是这一行的正确字段?
以下是完整的rsyslog.conf :
$ModLoad imuxsock $ModLoad imklog.so $ActionQueueType LinkedList # use asynchronous processing $ActionQueueFileName srvrfwd # set file name, also enables disk mode $ActionResumeRetryCount -1 # infinite retries on insert failure $ActionQueueSaveOnShutdown on # save in-memory data if rsyslog shuts down :msg, contains, "408 -" ~ :msg, contains, "enablerepo=private update" ~ *.* /var/log/messages *.* @@logserver.mydomain
在与rsyslog开发者进行授权后,它似乎是我们使用的版本(5.8,由Amazon通过他们的Amazon Linux发行版提供)中的一个错误。 我升级到7.4,问题就消失了。 我通知亚马逊,他们正在调查升级到7.4是否是他们希望为每个人前进。