1、发送端配置
-t,指定标记记录在message日志中可以看到是属于哪个模块记录的日志,-t后面为模块名称,加引号或不加都可以。如果不指定-t,都是已root为记录。
-p,指定输入消息日志级别,优先级可以是数字或者指定为 " facility.level" 的格式。比如:" -p local3.info " local3 这个设备的消息级别为 info
参考链接:https://www.cnblogs.com/xingmuxin/p/8656498.html
local1 /var/log/apache2/acess.log local1.* @@192.168.2.108:514
2、接收端配置
接受syslog日志流并缓存到本地
# 根据客户端的IP单独存放主机日志在不同目录 $template Remote,"/var/log/syslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log" # 排除本地主机IP日志记录,只记录远程主机日志 :fromhost-ip, !isequal, "127.0.0.1" ?Remote & ~
或者直接指定缓存到某个文件
:fromhost-ip, !isequal, "127.0.0.1" /var/log/syslog_test
附录
1、OSSIM归一化日志处理
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)