Syslog Action nur für bestimmte Logs

Question

In der Dokumentation von rsyslog steht das man mit Actions (in Rainerscript) Logs an einen Remote Syslog Server weiterleiten kann. Die Action wird so gezeigt

action(
    type="omfwd"
    target="logs.example.com"   # Remote syslog server
    port="514"                  # Destination port
    protocol="tcp"              # Use TCP (reliable transport)
    queue.type="linkedList"     # Prevent blocking if the remote server is down
)

Das schickt doch aber alle Nachrichten an den Remote Server. Früher (Legacy) war es

*.* @@logs.example.com

Aber wie kann ich jetzt diese Action auf bestimmte Logs anwenden statt auf alle?

Answer 1

Wenn dein Programm Logs z.B so schreibt

Nov 12 10:15:23 myhost myprogram[1234]: ...

dann ist "myprogram" der Programmname und du kannst schreiben

if ($programname == "myprogram") then {
	action(
		type="omfwd"
		target="logs.example.com"   # Remote syslog server
		port="514"                  # Destination port
		protocol="tcp"              # Use TCP (reliable transport)
		queue.type="linkedList"     # Prevent blocking if the remote server is down
	)
}

Wenn du nach Text im Log filtern willst dann kannst du nach Inhalt ($msg) filtern

if ($msg contains "my string") then {
	action(
		type="omfwd"
		target="logs.example.com"   # Remote syslog server
		port="514"                  # Destination port
		protocol="tcp"              # Use TCP (reliable transport)
		queue.type="linkedList"     # Prevent blocking if the remote server is down
	)
}