Очень короткий ответ
/ и т.д. используется Вашей ОС для ее конфигурационных файлов
/usr/local/etc может использоваться для Ваших файлов конфигурации Вами и Вашего addtionally установленного программного обеспечения
В дополнение к селекторной фильтрации rsyslogd может отфильтровать на шаблонах, найденных в свойствах сообщения журнала. Для выполнения, что Вы пытаетесь сделать можно создать основанный на свойстве фильтр для соответствия строке, которую Вы используете в своих правилах iptables. Если необходимо было использовать --log-prefix "unique_prefix: "
в Вашем правиле iptables необходимо было бы добавить это к rsyslog.conf:
:msg,startswith,"unique_prefix" /var/log/iptables
Это правило протестирует сообщения журнала на Ваш префикс и отправит их в/var/log/iptables (в дополнение к тому, везде, где еще rsyslog настроен для отправки их). Если у Вас должны быть сообщения, появляются в/var/log/iptables, но не в другом месте, помещают новое правило выше других и следуют за ним со строкой, содержащей & ~
. Полный пример:
:msg,startswith,"unique_prefix" /var/log/iptables
& ~
#
# The rest of my rules appear below
# ...
*.info;mail.none;authpriv.none;cron.none /var/log/messages
Правила Rsyslog могут иметь несколько действий. Последующие действия определяются на новых строках, начинающихся с амперсанда (&
). В примере выше, первое правило имеет два действия: отправьте вывод в/var/log/iptables и затем отбросьте сообщение (~
). См. rsyslog документы о действиях и фильтрах для получения дополнительной информации о правилах в этом ответе
Отредактированный для использования startswith
вместо contains
для соображений производительности. Начиная с iptables --log-prefix
действительно префикс и таким образом будет в начале сообщения.
Мой опыт, учитывая природу как rsyslog.conf
файл анализируется, дополнительные строки конфигурации в /etc/rsyslog.conf
должен быть перед всеми другими строками конфигурации. Если добавлено в конец файла, вход IP таблиц будет все еще добавлен к /var/log/messages
и также перенаправленный к /var/log/iptables.log
файл.
:msg, regex, "^\[ *[0-9]*\.[0-9]*\] MyPrefix"
соответствоватьJan 23 18:11:35 myhost kernel: [607552.301334] MyPrefix IN=...
– mivk 23.01.2016, 19:17