rsyslog에 대한 사용자 구성 옵션을 추가하는 옵션을 사용자에게 제공하려고 합니다. 기본 rsyslog는 나에게 잘 작동합니다.
rsyslog 파일의 기본 구성 또는 기본 구성은 다음과 같습니다.
# if you experience problems, check
# http://www.rsyslog.com/troubleshoot for assistance
# rsyslog v3: load input modules
# If you do not load inputs, nothing happens!
# You may need to set the module load path if modules are not found.
#
# Ported from debian's sysklogd.conf
$ModLoad immark # provides --MARK-- message capability
$ModLoad imuxsock # provides support for local system logging (e.g. via
logger command)
$ModLoad imklog # kernel logging (formerly provided by rklogd)
# Enable traditional timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
#
# Set the default permissions
#
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
## Include custom config fragments
##
$IncludeConfig /usr/local/etc/rsyslog.d/*.conf
$IncludeConfig /tmp/rsyslog.d/*.conf
# Default logs
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
#
# Logging for the mail system. Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err
# Logging for INN news system
#
news.crit /var/log/news.crit
news.err /var/log/news.err
news.notice -/var/log/news.notice
#
# Some `catch-all' logfiles.
#
*.=debug;\
auth,authpriv.none;\
news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;\
auth,authpriv.none;\
cron,daemon.none;\
mail,news.none -/var/log/messages
#
# Emergencies are sent to everybody logged in.
#
*.emerg :omusrmsg:*
# Save boot messages also to boot.log
local7.* /var/log/boot.log
내 rsyslog 필터 파일은 다음과 같으며 /etc/rsyslog.ab.conf에 있습니다.
##############################################################################
##
#
## Security relevant user authentication tags
#
##
#
## ALS, ALF
#
###############################################################################
#$template ALS_sshd,"<38>1 %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME%
%PROCID% %MSGID% %STRUCTURED-DATA% ALS : %msg%\n"
#if $programname contains 'sshd' and $msg contains 'Accepted password' then
/var/log/sedl.log;ALS_sshd
#if $programname contains 'sshd' and $msg contains 'Accepted password' then
@128.224.124.147;ALS_sshd
#$template ALS_login,"<38>1 %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME%
%PROCID% %MSGID% %STRUCTURED-DATA% ALS : %msg%\n"
#if $programname contains 'login' and $msg contains 'login' then
/var/log/sedl.log;ALS_login
#if $programname contains 'login' and $msg contains 'login' then
@128.224.124.147;ALS_login
$template ALF_sshdPW,"<38>1 %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME%
%PROCID% %MSGID% %STRUCTURED-DATA% ALF : %msg%\n"
if $programname contains 'sshd' and $msg contains 'Failed password' then
/var/log/sedl.log;ALF_sshdPW
if $programname contains 'sshd' and $msg contains 'Failed password' then
@128.224.124.147;ALF_sshdPW
위의 예에서 "if's"의 주석 처리를 제거하면 제대로 작동하지만 이 파일을 주석 처리되지 않은 "if's"로 옮기면 /usr/local/etc/rsyslog.d/*.conf작동하지 않습니다. $IncludeConfig를 추가해도 /usr/local/etc/rsyslog.d/*.conf정상적으로 작동합니다. 그러나 /usr/local/etc/rsyslog.d/*conf.$ResetConfigVariables를 사용해 보았지만 작동하지 않았기 때문에 /etc/*conf에서만 작동합니다 .
시스템 로그에 로그 항목이 표시되지만.
내가 사용하는 rsyslog 버전은 7.4.4입니다. 어떤 조언이라도 대단히 감사하겠습니다. 감사해요