Le démon rsyslogd offre trois manières différentes de filtrer les messages rsyslog :
1. Filtres basés sur les installations/les priorités
2. Filtres basés sur les propriétés
3. Filtres basés sur les expressions
Filtres basés sur les installations/les priorités
Les filtres basés sur les installations/priorités filtrent les messages rsyslog en fonction de deux conditions :
1. installation
2. priorité
Facility spécifie le sous-système qui produit le message. Exemples d'installations :mail , noyau , et cron . La priorité représente la priorité du message. Des exemples de priorités incluent debug (7) , avertissement (4) , et alerte (1) .
Une paire installation-priorité est appelée un sélecteur. Pour créer un sélecteur, utilisez la syntaxe :
Facility.Priority
Installation
Facility spécifie le sous-système qui produit un message rsyslog spécifique et peut être représenté par l'un des mots clés suivants :
| Installation | Sous-système |
|---|---|
| auth/authpriv | Messages de sécurité/autorisation |
| cron | messages crond |
| démon | Autres démons système |
| kern | Messages du noyau |
| lpr | Sous-système d'imprimante en ligne |
| courrier | Système de messagerie |
| actualités | Sous-système d'actualités du réseau |
| syslog | Messages générés en interne par rsyslogd |
| utilisateur | Messages au niveau de l'utilisateur |
| uucp | Sous-système UUCP |
| local0 à local7 | Utilisation locale |
Priorité
La priorité peut être représentée par l'un de ces mots-clés (classés par ordre croissant). Tous les messages de la priorité spécifiée et supérieure sont enregistrés en fonction de l'action donnée.
| Priorité | Type de message |
|---|---|
| débogage | Messages de niveau débogage |
| infos | Messages d'information |
| avis | Condition significative de bogue normale |
| avertissement | Conditions d'avertissement |
| erreur | Conditions d'erreur |
| critique | Conditions critiques |
| alerte | Une action doit être entreprise immédiatement. |
| urgence | Le système est instable. |
Exemples de sélecteurs basés sur les installations/les priorités
Voici des exemples de sélecteurs basés sur des installations/priorités.
1. Pour sélectionner tous les e-mails de priorité err et supérieure :
mail.err
2. Des caractères spéciaux peuvent être utilisés. Utilisez un astérisque (*) pour spécifier toutes les installations ou priorités. Par exemple, pour sélectionner tous les messages d'authentification avec n'importe quelle priorité :
auth.*
3. Utilisez une virgule (,) pour spécifier plusieurs ressources et priorités. Par exemple, pour sélectionner à la fois les fonctionnalités uucp et news avec une priorité d'avertissement ou supérieure :
uucp,news.warning
4. Utilisez un point-virgule (;) pour définir plusieurs sélecteurs sur une seule ligne. Exemple :
*.info;mail.none;auth.none;cron.none
5. Utilisez un signe égal (=) pour spécifier une seule priorité. Toutes les autres priorités sont ignorées. Par exemple, pour sélectionner les messages cron de priorité d'urgence uniquement :
cron.=emerg
6. Faites précéder une priorité d'un point d'exclamation (!) pour sélectionner tous les messages rsyslog à l'exception de ceux avec la priorité définie. L'exemple suivant sélectionne tous les messages utilisateur, à l'exception de ceux dont la priorité est info ou débogage :
user.!info,!debug
Filtres basés sur la propriété
Filtrer les messages rsyslog par n'importe quelle propriété, telle que timegenerated ou message . Vous pouvez comparer une propriété à une valeur en utilisant l'une des nombreuses opérations de comparaison basées sur les propriétés. Les opérations de comparaison incluent contient , inégal , et commence par . L'exemple suivant filtre les messages contenant la chaîne "error " dans le texte du message (msg ):
:msg, contains, “error”
Filtres basés sur l'expression
Sélectionnez les messages rsyslog en fonction d'opérations arithmétiques, booléennes ou de chaîne à l'aide d'un langage de script rsyslog. Voici la syntaxe de base des filtres basés sur des expressions :
if EXPRESSION then ACTION else ACTIONCentOS / RedHat :Guide du débutant pour l'administration des fichiers journaux
Comprendre les actions rsyslog
Comprendre les modèles rsyslog