rsyslog フィルタ オプションについて

rsyslogd デーモンは、rsyslog メッセージをフィルタリングする 3 つの異なる方法を提供します。
1.施設/優先度ベースのフィルター
2.プロパティベースのフィルター
3.式ベースのフィルター

施設/優先順位に基づくフィルター

ファシリティ/優先度ベースのフィルターは、次の 2 つの条件に基づいて rsyslog メッセージをフィルター処理します。
1.施設
2.優先度

Facility は、メッセージを生成するサブシステムを指定します。施設の例には、メールが含まれます 、カーネル 、および cron . Priority は、メッセージの優先度を表します。優先度の例には、debug (7) が含まれます 、警告 (4) 、およびアラート (1) .

ファシリティとプライオリティのペアは、セレクターと呼ばれます。セレクターを作成するには、次の構文を使用します:

Facility.Priority

施設

Facility は、特定の rsyslog メッセージを生成するサブシステムを指定し、次のキーワードのいずれかで表すことができます:

施設	サブシステム
auth/authpriv	セキュリティ/認証メッセージ
クローン	crond メッセージ
デーモン	その他のシステム デーモン
カーン	カーネルメッセージ
lpr	ライン プリンター サブシステム
メール	メール システム
ニュース	ネットワーク ニュース サブシステム
syslog	rsyslogd によって内部的に生成されたメッセージ
ユーザー	ユーザーレベルのメッセージ
uucp	UUCP サブシステム
local0 ～ local7	ローカル使用

優先度

優先順位は、これらのキーワードのいずれかで表すことができます (昇順でリストされています)。指定された優先度以上のすべてのメッセージは、指定されたアクションに従ってログに記録されます。

優先度	メッセージの種類
デバッグ	デバッグレベルのメッセージ
情報	情報メッセージ
お知らせ	通常のバグ重大状態
警告	警告条件
エラー	エラー条件
クリティカル	危機的状況
アラート	直ちに行動を起こす必要があります。
出現	システムが不安定です。

施設/優先度ベースのセレクターの例

以下は、施設/優先度ベースのセレクターの例です。
1.優先度が err 以上のすべてのメール メッセージを選択するには:

mail.err

2. 特殊文字を使用できます。アスタリスク (*) を使用して、すべての機能または優先順位を指定します。たとえば、任意の優先度を持つすべての認証メッセージを選択するには:

auth.*

3. 複数のファシリティと優先度を指定するには、カンマ (,) を使用します。たとえば、uucp とニュース機能の両方を警告以上の優先度で選択するには:

uucp,news.warning

4. 1 行で複数のセレクターを定義するには、セミコロン (;) を使用します。例:

*.info;mail.none;auth.none;cron.none

5. 単一の優先順位を指定するには、等号 (=) を使用します。他のすべての優先度は無視されます。たとえば、緊急優先度のみの cron メッセージを選択するには:

cron.=emerg

6. 優先度の前に感嘆符 (!) を付けて、定義された優先度を除くすべての rsyslog メッセージを選択します。次の例では、優先度が info または debug のメッセージを除く、すべてのユーザー メッセージを選択します。

user.!info,!debug

プロパティ ベースのフィルタ

time generated などの任意のプロパティで rsyslog メッセージをフィルタリングします またはメッセージ .プロパティベースの比較操作の 1 つを使用して、プロパティを値と比較できます。比較操作には contains が含まれます 、等しい 、で始まる .次の例では、文字列「エラー」を含むメッセージをフィルター処理します 」メッセージ テキスト (msg ):

:msg, contains, “error”

式ベースのフィルター

rsyslog スクリプト言語を使用して、算術演算、ブール演算、または文字列演算に従って rsyslog メッセージを選択します。以下は、式ベースのフィルターの基本的な構文を示しています:

if EXPRESSION then ACTION else ACTION

CentOS / RedHat :ログ ファイル管理の初心者向けガイド
rsyslog アクションについて
rsyslog テンプレートについて