我需要停用我的Linux服務器上的RepeatedMsgReduction,以允許fail2ban評估每次失敗的登錄嘗試。 (看到這個錯誤報告:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=440037)rsyslog條件RepeatedMsgReduction
因爲我不想洪泛我的日誌文件,我希望只有那些fail2ban掃描的日誌文件,特別是mail.warn。
有沒有辦法在rsyslog.conf,設置
$RepeatedMsgReduction = off
當且僅當該消息勢必mail.warn設置條件規則/過濾器?
好了,一次又一次閱讀手冊和文檔,現在把我帶到了解決方案:
閱讀http://www.rsyslog.com/doc/rsconf1_repeatedmsgreduction.html告訴你,直到指定的下一個指令的指令
$RepeatedMsgReduction off
仍然有效。
這意味着,如果您想要所有mail.warn消息,但想要減少所有其他消息(mail.info和mail.err)中的消息,請將配置更改爲如下所示(假設全局消息上):
mail.info -/var/log/mail.info
$RepeatedMsgReduction off
mail.warn -/var/log/mail.warn
$RepeatedMsgReduction on
mail.err /var/log/mail.err
有了這個,mail.warn將包含記錄的所有信息,而其他日誌級別(和文件)將包含著名的「最後的消息重複n次」行。這允許例如fail2ban檢查mail.warn是否存在惡意活動,而其他日誌文件保持「乾淨」狀態。