rsyslog.conf に次の行を追加します。
if $msg contains 'arpwatch' then /var/log/test.log
問題は、式 (arpwatch) を含むログの同時行がある場合、最初の行だけがログに記録され、他の行は記録されないことです。
「arpwatch」を含む同時行がある場合、ログに書き込むように式を変更するにはどうすればよいですか?
これらの行が rsyslog に送信される場合:
2012 年 11 月 10 日 09:56:34 エイリアンボールト->/var/log/syslog 11 月 10 日 09:56:34 エイリアンボールト arpwatch_eth0: chdir (/usr/arpwatch): そのようなファイルまたはディレクトリはありません 2012 年 11 月 10 日 09:56:34 エイリアンボールト->/var/log/syslog 11 月 10 日 09:56:34 エイリアンボールト arpwatch_eth0: (現在の作業ディレクトリを使用) 2012 年 11 月 10 日 09:56:34 エイリアンボールト->/var/log/syslog 11 月 10 日 09:56:34 エイリアンボールト arpwatch_eth0: pcap オープン eth0: eth0: そのようなデバイスは存在しません (SIOCGIFHWADDR: そのようなデバイスはありません)
次に、/var/log/test.log
次の行があります。
2012 年 11 月 10 日 09:56:34 エイリアンボールト->/var/log/syslog 11 月 10 日 09:56:34 エイリアンボールト arpwatch_eth0: chdir (/usr/arpwatch): そのようなファイルまたはディレクターはありません
その他は無視されます