Il demone rsyslogd offre tre modi diversi per filtrare i messaggi rsyslog:
1. Filtri basati su struttura/priorità
2. Filtri basati sulle proprietà
3. Filtri basati sulle espressioni
Filtri basati su strutture/priorità
I filtri basati su struttura/priorità filtrano i messaggi rsyslog in base a due condizioni:
1. struttura
2. priorità
Facility specifica il sottosistema che produce il messaggio. Esempi di servizi includono posta , kernel e cron . La priorità rappresenta la priorità del messaggio. Esempi di priorità includono debug (7) , avviso (4) e avviso (1) .
Una coppia struttura-priorità è chiamata selettore. Per creare un selettore, usa la sintassi:
Facility.Priority
Struttura
Facility specifica il sottosistema che produce un messaggio rsyslog specifico e può essere rappresentato da una delle seguenti parole chiave:
| Struttura | Sottosistema |
|---|---|
| auth/authpriv | Messaggi di sicurezza/autorizzazione |
| cron | messaggi crond |
| demone | Altri demoni di sistema |
| crema | Messaggi del kernel |
| lpr | Sottosistema stampante di linea |
| posta | Sistema di posta |
| notizie | Sottosistema di notizie di rete |
| syslog | Messaggi generati internamente da rsyslogd |
| utente | Messaggi a livello di utente |
| uucp | Sottosistema UUCP |
| da local0 a local7 | Uso locale |
Priorità
La priorità può essere rappresentata da una di queste parole chiave (elencate in ordine crescente). Tutti i messaggi con priorità specificata e superiore vengono registrati in base all'azione specificata.
| Priorità | Tipo di messaggio |
|---|---|
| debug | Messaggi a livello di debug |
| informazioni | Messaggi informativi |
| avviso | Condizione significativa di bug normale |
| avviso | Condizioni di avviso |
| err | Condizioni di errore |
| critico | Condizioni critiche |
| avviso | L'azione deve essere intrapresa immediatamente. |
| emerge | Il sistema è instabile. |
Esempi di selettori basati su struttura/priorità
Di seguito sono riportati esempi di selettori basati su struttura/priorità.
1. Per selezionare tutti i messaggi di posta con priorità err e superiore:
mail.err
2. È possibile utilizzare caratteri speciali. Utilizzare un asterisco (*) per specificare tutte le strutture o priorità. Ad esempio, per selezionare tutti i messaggi di autenticazione con qualsiasi priorità:
auth.*
3. Utilizzare una virgola (,) per specificare più strutture e priorità. Ad esempio, per selezionare sia l'uucp che i notiziari con priorità di avviso o superiore:
uucp,news.warning
4. Utilizzare un punto e virgola (;) per definire più selettori su una riga. Esempio:
*.info;mail.none;auth.none;cron.none
5. Utilizzare un segno di uguale (=) per specificare una singola priorità. Tutte le altre priorità vengono ignorate. Ad esempio, per selezionare i messaggi cron con priorità solo emergente:
cron.=emerg
6. Far precedere una priorità da un punto esclamativo (!) per selezionare tutti i messaggi rsyslog tranne quelli con la priorità definita. L'esempio seguente seleziona tutti i messaggi utente, ad eccezione di quelli con le informazioni o la priorità di debug:
user.!info,!debug
Filtri basati sulla proprietà
Filtra i messaggi rsyslog in base a qualsiasi proprietà, ad esempio timegenerated o msg . È possibile confrontare una proprietà con un valore utilizzando una delle numerose operazioni di confronto basate sulla proprietà. Le operazioni di confronto includono contiene , uguale e inizia con . L'esempio seguente filtra i messaggi che contengono la stringa "errore ” nel testo del messaggio (msg ):
:msg, contains, “error”
Filtri basati su espressioni
Selezionare i messaggi rsyslog in base alle operazioni aritmetiche, booleane o di stringa utilizzando un linguaggio di scripting rsyslog. Di seguito viene mostrata la sintassi di base dei filtri basati su espressioni:
if EXPRESSION then ACTION else ACTIONCentOS / RedHat :Guida per principianti all'amministrazione dei file di registro
Informazioni sulle azioni rsyslog
Informazioni sui modelli rsyslog