rsyslog日志转发问题

coolmoon_133319

问题描述：
转发日志中增加了Pri，Date，syslogtag，由于我的日志本身就包含这些信息，所以不想再添加，需要如何配置。

模板：
$ActionFileDefaultTemplate RSYSLOG_TraditionalForwardFormat

日志源:
module(load="imfile" mode="polling")
input(type="imfile" File="/home/xxx/input.log")

日志输出：
action(type="omfile" file="/home/xxx/output.log")

输入文件内容：
Jul 9 17:38:45 192.168.1.112 xxxx[2222]: 64 bytes from 192.168.1.113:icmp_seq=1 ttl=64 time=0.012s

输出文件内容
<187>Jul 13 00:29:29 localhost xxxx:<187>Jul 9 17:38:45 192.168.1.112 xxxx[2222]: 64 bytes from 192.168.1.113:icmp_seq=1 ttl=64 time=0.012s

有没有什么选项设置？或者定义好的模板供学习，谢谢！

q1208c

转发怎么会有两层呢? 除非是你自己先加了一层吧?

coolmoon_133319

回复 2# q1208c

具体原因我现在回想不起来了，我又重新测试了，以这次的数据为准。

输入：
64 bytes from 192.168.1.113:icmp_seq=1 ttl=64 time=0.012s

输出：
<187>Jul 14 04:17:21 localhost xxxx: 64 bytes from 192.168.1.113:icmp_seq=1 ttl=64 time=0.012s


实际上，我并不需要红色标注内容。


   

q1208c

回复 3# coolmoon_133319

我不知道你的输入是怎么输入的, 也不知道你的输出是在哪里的输出.

对于syslog来说, 每条必一定会有一个 时间, 至于引发的程序, 好象不一定会有. 级别好象也可以没有.

我配置过的 syslog server 都是按照网上的说明配置的, 也基本上都是会正常的工作.
   

coolmoon_133319

回复 4# q1208c

输入源是文件：imfile
输出源也是文件：omfile

这个配置下，rsyslog也能工作，只是增加红色标注的内容。

一个实际的场景是：输入源文件里本身日志就符合BSD-syslog协议，及<pri>,<date>,<tag>,<msg>完全没有必要补充这些内容。

   

q1208c

回复 5# coolmoon_133319

那你为什么不拿掉 输入源中的 这些标识呢?
   

coolmoon_133319

回复 6# q1208c
拿掉这些标识后不能表明原有的信息了啊。

比如，我的应用程序记录了两条错误日志，一条日志级别是warning，一条级别是error。去掉这些标识后，我怎么设置日志级别。

另外，再请教一个问题，rsyslog时候支持字符串替换。举例来讲，比如将源日志中的“张三”替换成“李四”


   

q1208c

回复 7# coolmoon_133319

我没有配置过 字符串替换.


我个人的理解, 日志系统, 应该忠实的记录所有发来的信息, 如果在记录中可以替换, 那你还相信这份日志么? 反正我是不信.