Linux Destro는 Centos 6.8입니다.

rsyslog.conf는 다음과 같습니다.

# cat /etc/rsyslog.conf

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
#$ModLoad immark  # provides --MARK-- message capability
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template server-dc, "/scratch/rsyslog/%HOSTNAME%/messages.log"
authpriv.*   ?server-dc
*.info,mail.none,authpriv.none,cron.none   ?server-dc
$IncludeConfig /etc/rsyslog.d/*.conf

#*.info;mail.none;authpriv.none;cron.none                /var/log/messages
#*.*                                                     @elk-rsyslog:514

내가 이해하고 싶은 요점은 다음과 같습니다.

1)

$template server-dc, "/scratch/rsyslog/%HOSTNAME%/messages.log"
enter code here

따라서 위 줄은 /scratch/rsyslog다음과 같이 메시지 파일 뒤에 디렉터리 구조를 생성하는 Unix 원격 호스트의 모든 로그를 전달하는 rsyslog 서버의 디렉터리 경로입니다.

/scratch/rsyslog/remot1-Ser1/messages.log
/scratch/rsyslog/remot1-Ser2/messages.log

따라서 이것은 잘 작동하지만 동시에 다음 형식으로 네트워크 로그를 동일한 위치에 전달하는 네트워크 장치도 거의 없습니다.

/scratch/rsyslog/Sep/messages.log
/scratch/rsyslog/Oct/messages.log

/scratch/rsyslog/network위 네트워크 로그의 경우 메시지 파일 뒤에 월 이름별로 디렉터리가 생성되므로 네트워크 로그를 별도의 폴더에 수집할 수 있도록 rsyslog에서 네트워크 로그에 대해 다른 경로를 정의하는 방법을 찾고 있습니다. 이는 이러한 로그를 Elasticsearch로 처리하고 있기 때문에 Unix 로그에 와일드카드를 사용하고 있지만 /scratch/rsyslog/*/messages.log여기에는 wildcard()가 호출되는 네트워크 로그도 포함됩니다 *.

그렇다면 로그가 특정 원격 호스트 또는 IP에서 나오고 rsyslog 서버의 특정 폴더로 이동해야 하는지 알 수 있는 방법이 있습니까?

2) 여기에 $template server-dc, "/scratch/rsyslog/%HOSTNAME%/messages.log" 로그인이 무엇인지 입력하세요서버DC이것은 또 다른 호스트 이름이므로 어떤 목적으로 사용됩니까? 아니면 위의 요구 사항을 고려하여 관련 있는 이름으로 변경할 수 있습니까?

3) 동일 서버DC다른 구성 매개변수에도 포함됩니다.

예상되는

시스템, 네트워크, 방화벽과 같은 로그를 별도의 다른 디렉터리로 전달하는 방법이 있는지 궁금합니다.

1 -/scratch/rsyslog/system/%HOSTNAME%/messages.log

2 - /scratch/rsyslog/network/%HOSTNAME%/messages.log

삼- /scratch/rsyslog/firewall/%HOSTNAME%/messages.log