前回も示しましたが、/etc/rsyslog.d/50-default.confファイルからコメントを取り除くと、次のようになります。これが有効になっているrsyslogの設定です。
1 2 3 4 5 6 7 8 9 10 11 12 13 |
auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog kern.* -/var/log/kern.log mail.* -/var/log/mail.log mail.err /var/log/mail.err news.crit /var/log/news/news.crit news.err /var/log/news/news.err news.notice -/var/log/news/news.notice *.emerg :omusrmsg:* daemon.*;mail.*;\ news.err;\ *.=debug;*.=info;\ *.=notice;*.=warn |/dev/xconsole |
ここに書かれたものは、ログなどを取得して処理するための「ルール」です。ルールの基本書式は、
セレクター アクション
のように「セレクター」と「アクション」という二つのフィールドで構成されます。セレクターはログのタイプを表し、指定したアクションで処理するログメッセージを特定します。