Il post spiega come configurare rsyslog per filtrare i messaggi con un indirizzo IP specifico ed eliminare quei messaggi. Per impostazione predefinita, syslog non consiste in alcun filtro avanzato come rsyslog. Segui i passaggi seguenti per configurare rsyslog per filtrare i messaggi con un indirizzo IP specifico.
1. Installare rsyslog se non è già presente nel sistema. Per le distribuzioni basate su Redhat:
# yum install rsyslog
2. Utilizzare i comandi chkconfig/systemctl per abilitare il servizio rsyslog all'avvio. Avvia anche il servizio.
# chkconfig rsyslog on ### CentOS/RHEL 6 # systemctl enable rsyslog ### CentOS/RHEL 7
# service rsyslog start ### CentOS/RHEL 6 # systemctl start rsyslog ### CentOS/RHEL 7
3. Per eliminare tutti i messaggi relativi all'indirizzo IP xx.xx.xx.xx, modificare /etc/rsyslog.conf e aggiungere il filtro di eliminazione in alto e non in fondo al file.
# vi /etc/rsyslog.conf :msg, contains, "xx.xx.xx.xx " ~
4. Riavvia il servizio rsyslog
# service rsyslog restart
Verifica
Puoi verificare le impostazioni fatte sopra, utilizzando il logger comando. Il comando Logger viene utilizzato per generare manualmente i messaggi syslog sulla riga di comando. Usa il comando seguente per generare un messaggio syslog contenente l'indirizzo IP che desideriamo.
# logger xx.xx.xx.xx
Verificare nel file /var/log/messages che il messaggio precedente non sia registrato. Inoltre, verifica utilizzando un indirizzo IP diverso per verificare che altri messaggi contenenti un indirizzo IP diverso non vengano eliminati.
Applicazione del filtro su un programma/comando specifico
Il filtro può essere applicato anche a un programma specifico come vsftpd insieme all'IP specifico. Utilizza il filtro di eliminazione sottostante per eliminare i registri per l'IP xx.xx.xx.xx e anche per il comando vsftpd.
# vi /etc/rsyslog.conf if $programname == 'vsftpd' and ($msg contains 'xx.xx.xx.xx' or $msg contains 'xx.xx.xx.xx') then ~