Como filtrar por origen en Rsyslog

Resulta que tenemos un servidor que almacena syslogs de diferentes «cacharros». Y como todo, empiezas a añadir cosas y al final el fichero es tan grande que no hay quien encuentre nada. Necesitaba que algunos de los orígenes se almacenaran en diferentes ficheros para que no petara la herramienta (Loganalyzer).

Estuve leyendo algunas cosas en la documentación de Rsyslog:

https://www.rsyslog.com/doc/v8-stable/configuration/filters.html

Otra solución que encontré …

https://superuser.com/questions/1002856/rsyslog-how-to-separate-incoming-logs-with-ip-addresses

Y al final me quede con una mezcla de todo … y creo que es lo mas fácil.

Editas el fichero /etc/rstslog.d/50-default.conf

Añades al final del fichero tus reglas:

:FROMHOST, startswith,»xxx.xxx.xxx.xxx» /var/log/otro-syslog

Reinicias el demonio y listo … todo lo que venga del origen se va al otro fichero.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.