格式化 rsyslog 消息 - 删除 logserver 的 IP
Format rsyslog messages - remove IP of logserver
我们的存档服务器正在接收由一些日志服务器发送的日志——这些日志服务器在转发给存档服务器的每条消息中都写下了自己的 IP。现在我想 "cut" 他们的 IP 地址和 "src@" 从每个日志消息与我的存档服务器的 rsyslog 配置。
示例:
192.168.0.12 是我的日志服务器之一 | Foo 是在其 DNS 名称
中翻译的 "real" 源 IP
错误 [8 月 23 日 10:00:01 192.168.0.12 src@Foo logdata logdata ]
对 [8 月 23 日 10:00:01 Foo logdata logdata ]
起初我想我可以使用 "FIELDS" 和空格作为分隔符,但我想当我想删除 src@ 时,我也会删除我的真实源 IP 的 DNS 名称.如果可能的话,我很乐意使用 sed,但我不知道如何在我的 rsyslog.conf
中实现它
sed 's/\(192.168.0.12 @src\)//'
应该可以。
_________UPDATE________
有一个看起来很有前途的函数,叫做 "replace",但我似乎根本无法让它工作。
if ( $fromhost-ip == '192.168.0.12' ) then {
replace($msg, "@src", " ")
-/var/log/foo.log
stop
}
消息是用 foo.log 编写的 - 但没有任何内容被替换
我使用模板进行了操作。由于日志服务器正在插入他自己的 IP,我只需 "remove" %hostname% 就可以了。
template template_name,"%timegenerated% %progname% %msg%"
if fromhost-ip == '192.168.0.12' then {
/var/log/foo.log,template_name
stop
}
我们的存档服务器正在接收由一些日志服务器发送的日志——这些日志服务器在转发给存档服务器的每条消息中都写下了自己的 IP。现在我想 "cut" 他们的 IP 地址和 "src@" 从每个日志消息与我的存档服务器的 rsyslog 配置。
示例:
192.168.0.12 是我的日志服务器之一 | Foo 是在其 DNS 名称
中翻译的 "real" 源 IP错误 [8 月 23 日 10:00:01 192.168.0.12 src@Foo logdata logdata ]
对 [8 月 23 日 10:00:01 Foo logdata logdata ]
起初我想我可以使用 "FIELDS" 和空格作为分隔符,但我想当我想删除 src@ 时,我也会删除我的真实源 IP 的 DNS 名称.如果可能的话,我很乐意使用 sed,但我不知道如何在我的 rsyslog.conf
中实现它sed 's/\(192.168.0.12 @src\)//'
应该可以。
_________UPDATE________
有一个看起来很有前途的函数,叫做 "replace",但我似乎根本无法让它工作。
if ( $fromhost-ip == '192.168.0.12' ) then {
replace($msg, "@src", " ")
-/var/log/foo.log
stop
}
消息是用 foo.log 编写的 - 但没有任何内容被替换
我使用模板进行了操作。由于日志服务器正在插入他自己的 IP,我只需 "remove" %hostname% 就可以了。
template template_name,"%timegenerated% %progname% %msg%"
if fromhost-ip == '192.168.0.12' then {
/var/log/foo.log,template_name
stop
}