호스트 이름을 기준으로 rsyslog 제외 로그

rsyslog 서버가 Splunk 상자로 메시지를 전달하도록 설정했습니다. 그러나 우리는 일부 소음을 제거하여 무시할 특정 프로그램을 설정했습니다. 따라서 기본적으로 로그가 dhcpd이면 삭제하십시오. 다른 모든 것을 전달하십시오.

if $programname != 'dhcpd' then @@0.0.0.0:514

해당 호스트 이름의 단어를 기반으로 특정 호스트 이름을 제외시키는 방법이 있습니까? 예를 들어 :

hostname-ABC1.log <--- exclude
hostname2-ABC1.log <--- exclude
reghostname <---- keep and forward

버전 5.8.10

Splunk에 로그를 수집 한 다음 UniversalFowarder 또는 Indexer가 필요한 항목을 삭제하도록하는 것이 가장 좋습니다. Splunk를 사용하여이를 조정하고 rsyslog를 수정하는 것이 훨씬 쉽습니다. 소품과 변형 으로이 작업을 수행 할 수 있습니다.

props.conf에 필요한 것을 설정 한 다음 transforms.conf

내가 할 일은 정규식을 사용하는 것입니다.

props.conf에서 :

[source::udp:514]
TRANSFORMS-drop_hosts = drop_ABCHOSTS

transforms.conf에서 :

[drop_ABCHOSTS]
SOURCE_KEY = Metadata:Host
REGEX = ABC1\.log
DEST_KEY = queue
FORMAT = nullQueue