Debian的syslog服务允许您通过配置文件进行过滤,以便只显示与您感兴趣的事件相关的日志条目
sudo nano /etc/rsyslog.conf
#开头):#auth,authpriv.* /var/log/auth.log
#kern.* /var/log/kern.log
#syslog.* /var/log/syslog
#local0.* /var/log/local0.log
#local1.* /var/log/local1.log
如果您希望添加自定义日志文件,可以取消注释相应的行,或者添加新的行以包含您感兴趣的日志级别。例如,如果您只想查看与"auth"相关的日志条目,可以取消注释第一行:
auth,authpriv.* /var/log/auth.log
&符号将多个条件组合在一起。例如,如果您只想查看与"sshd"相关的日志条目,可以添加以下行:auth,authpriv.* /var/log/auth.log
kern.* /var/log/kern.log
syslog.* /var/log/syslog
local0.* /var/log/local0.log
local1.* /var/log/local1.log
sshd.* /var/log/auth.log
这将把"sshd"相关的日志条目追加到"auth.log"文件中。
:符号将日志级别与日志文件关联起来。例如,如果您只想查看级别为"warning"及以上的日志条目,可以添加以下行::msg,contains,"warning" /var/log/syslog
这将把包含"warning"关键字的日志条目追加到"syslog"文件中。
保存并关闭配置文件。
重启rsyslog服务以应用更改:
sudo systemctl restart rsyslog
现在,您的Debian系统应该只显示与您在配置文件中指定的条件相匹配的日志条目。
