rsyslog হোস্টনাম উপর ভিত্তি করে লগ বাদ

আমাদের rsyslog সার্ভার আমাদের Splunk বক্সে বার্তা অগ্রসর সেট আপ আছে। তবে আমরা কিছু গোলমালের মাধ্যমে কাটাতে চাই, তাই আমরা উপেক্ষা করার জন্য নির্দিষ্ট প্রোগ্রাম স্থাপন করেছি। সুতরাং মূলত যদি লগ dhcpd হয়, ড্রপ। অন্য সব ফরোয়ার্ড।

if $programname != 'dhcpd' then @@0.0.0.0:514

সেই হোস্টনামগুলির শব্দের উপর ভিত্তি করে নির্দিষ্ট হোস্টনামগুলি বাদ দেওয়ার একটি উপায় আছে। সুতরাং উদাহরণস্বরূপ:

hostname-ABC1.log <--- exclude
hostname2-ABC1.log <--- exclude
reghostname <---- keep and forward

সংস্করণ 5.8.10

Splunk এ লগগুলি সন্নিবেশ করা এবং তারপরে আপনার ইউনিভার্সালফাউডার বা সূচকের যা প্রয়োজন তা ড্রপ করুন। এটি spls তারপর এই rsyslog সংশোধন সঙ্গে এই সামঞ্জস্য করা অনেক সহজ। আপনি props এবং রূপান্তর সঙ্গে এই কাজ করতে পারেন।

আপনি প্রয়োজন কি সেটআপ props.conf এরপর transforms.conf

আমি কি করব regex ব্যবহার।

আপনার props.conf মধ্যে:

[source::udp:514]
TRANSFORMS-drop_hosts = drop_ABCHOSTS

আপনার transforms.conf মধ্যে:

[drop_ABCHOSTS]
SOURCE_KEY = Metadata:Host
REGEX = ABC1\.log
DEST_KEY = queue
FORMAT = nullQueue