У меня есть несколько серверов с rsyslog, настроенных для записи журналов на удаленный сервер syslog-ng, настроенный следующим образом:
# Log anything of level info or higher.
# Don't log private authentication messages!
*.info;authpriv.none @<IP-SERVER>
# The authpriv file has restricted access.
authpriv.* @<IP-SERVER>
и настроенный сервер syslog-ng:
destination d_remote {
file ("/var/LOG/$HOST-$YEAR$MONTH$DAY");
};
, но с этой конфигурацией клиент пишет оба журнала в один и тот же файл.
Можно ли настроить клиента (я не могу изменить сервер syslog-ng) для разделения журналов по разным файлам?
Для этого вам придется изменить конфигурацию сервера syslog-ng (в основном, вам понадобится фильтр, который разделяет различные типы журналов на отдельные файлы).
Уродливый взлом на стороне клиента мог заключаться в кодировании этой информации в поле HOST сообщения журнала (чтобы сервер считал их исходящими от разных хостов), но я не знаю, возможно ли это в rsyslog или нет.