问题[rsyslog](server)

我有一个配置为接受来自大约 400 个服务器的远程消息的 rsyslog 服务器，但是一旦服务器获得大约 256 个连接，它就会停止接受新连接，并且客户端会看到如下错误消息

cannot connect to syslog.example.org:514: Connection timed out

rsyslog imtcp模块配置如下

module(load="imtcp"
          MaxSessions="1000"
          StreamDriver.Mode="1"
          StreamDriver.AuthMode="anon"
          StreamDriver.Name="gtls"

)

systemd 单元也配置好了LimitNOFILE=16384，当我检查时/proc/$pid/limits，我发现限制的数量看起来不错

$ /proc/2767537# cat limits
Limit                     Soft Limit           Hard Limit           Units
Max cpu time              unlimited            unlimited            seconds
Max file size             unlimited            unlimited            bytes
Max data size             unlimited            unlimited            bytes
Max stack size            8388608              unlimited            bytes
Max core file size        0                    unlimited            bytes
Max resident set          unlimited            unlimited            bytes
Max processes             7393                 7393                 processes
Max open files            16384                16384                files
Max locked memory         65536                65536                bytes
Max address space         unlimited            unlimited            bytes
Max file locks            unlimited            unlimited            locks
Max pending signals       7393                 7393                 signals
Max msgqueue size         819200               819200               bytes
Max nice priority         0                    0
Max realtime priority     0                    0
Max realtime timeout      unlimited            unlimited            us

然而，当我开始看到这个错误时，文件数量/proc/$pid/fd接近 256。

/proc/2767537$ ls -l fd | wc -l
253

此外，已建立的连接始终接近 256

$ ss -ntp4 state established sport eq 514 | wc -l
257

这表明我需要调整其他 256 的限制，但我无法找到什么/在哪里。

• 我在系统日志服务器上的日志中看不到任何错误
• 使用 tcpdump 我可以看到 syn 数据包从端口 514 进入，但从未发送 sys/ack

为什么 rsyslog 可能会记录来自 systemd 日志的重复消息？

我知道有关 systemd 日志损坏的已知问题（请参阅此处“目的”部分下的警告： https: //www.rsyslog.com/doc/configuration/modules/imjournal.html），但我不认为这是我遇到的问题。我正在运行 Ubuntu 24.04、rsyslog 8.2312.0-3ubuntu9 和 systemd 255.4-1ubuntu8.4。

我有多个主机运行名为“foobar”的应用程序作为 systemd 服务，并记录到 systemd 日志中。我还运行 rsyslog 作为 systemd 服务，它配置为将 JSON 格式的 foobar 日志从 systemd 日志转发到中央日志服务器。每个主机上的 rsyslog 配置如下：

module(load="imjournal" StateFile="journalState" IgnorePreviousMessages="on")
module(load="mmjsonparse")
    
template(name="foobarJSON" type="string" string="%TIMESTAMP% %HOSTNAME% %syslogtag% @cee: %$!all-json%\n" )

if $syslogfacility-text == "user" and $programname == "foobar" then {
    user.* action(type="omfwd" target="central-logs.server" port="514" protocol="tcp" template="foobarJSON")
}

我还在中央日志服务器上将 rsyslog 作为 systemd 服务运行，并将来自每个服务器的 foobar 日志写入每个主机单独子目录内的本地文件。此主机上的 rsyslog 配置如下：

module(load="imtcp")
input(type="imtcp" address="123.456.789.0" port="514")

template(name="foobarHostLogs" type="string" string="/var/logs/%PROGRAMNAME%/%HOSTNAME%/%$year%/%$month%/%$day%.log")

module(load="builtin:omfile" DirCreateMode="0755")

if $fromhost-ip != '127.0.0.1' then {
    action(type="omfile" dynaFile="foobarHostLogs")

    & stop
}

在任何 foobar 主机上运行 journalctl -u foobar 时，我都看不到任何重复的消息。但是，在查看中央日志服务器上的日志文件时，我发现每条消息都是重复的：至少有一条消息仅包含来自 systemd 日志的“msg”字段（尽管有时我会看到两行相同的消息仅包含“msg”），紧接着是一行具有完全相同的时间戳和“msg”值以及来自 systemd 日志的所有其他元数据字段。

例如（我从下面的第二行删除了几个多余的字段，但希望您明白我的意思）：

2024-09-15T00:00:00+00:00 host-a foobar[123456]: @cee: { "msg": "Hello, world!" }
2024-09-15T00:00:00+00:00 host-a foobar[123456]: @cee: { "_TRANSPORT": "journal", "_PID": "123456", "_UID": "1000", "_GID": "1000", "_COMM": "foobar", "_EXE": "\/usr\/local\/bin\/foobar", "_CMDLINE": ".\/foobar", "_CAP_EFFECTIVE": "0", "_SELINUX_CONTEXT": "unconfined\n", "MESSAGE": "Hello, world!", "msg": "Hello, world!" }

我使用 /var/rsyslog/foo.conf 配置 rsyslog 服务器以接受 udp 消息

$ModLoad imudp
$UDPServerRun 514

并尝试将以“foo”开头的日志内容过滤到/var/log/foo.log。我尝试了几种过滤器。

:msg, contains, "foo" /var/log/foo.log
:msg, startswith, "foo" /var/log/foo.log
:msg, regex, "'^\s*foo.*" /var/log/foo.log
if $msg startswith 'foo' then /var/log/foo.log;

什么都不起作用。我可以在 /vag/log/syslog 中获得正确的信息，但无法过滤它并将其输出到 foo.log。我从 syslog 收到的消息如下：

 2023-12-02T17:06:20.852836+00:00 foo

这证明udp和一般日志记录是好的。但不知道为什么过滤器不起作用。

我的rsyslog服务器版本是8.2302.0，操作系统是Debian 12。

我已经通过 rsyslog TCP/SSL 配置了从我的一台服务器到中央日志服务器的远程日志记录

一切正常，直到昨天，大多数文件刚刚停止传输，而有些文件仍在日志服务器中发送/更新。

我的 /etc/rsyslog.d/ 中有这个特定的配置

$ModLoad imfile    #Load the imfile input module

# poll every 10s
$InputFilePollInterval 10

# myfile
$InputFileName /var/log/data/myFile.log 
$InputFileTag myFile: 
$InputFileStateFile stat-myFile  
$InputFileSeverity Info
$InputFileFacility local3
$InputRunFileMonitor

当我检查文件时，它会被我的应用程序更新

ls -la /var/log/data
-rw-r--r-- 1 adm adm  2666 Apr 22 08:52 myFile.log

当我尝试检查从该客户端到我的远程日志服务器的建立连接时，它似乎没问题（netstat -tulpan | grep syslog）

tcp 0 0:42724:10514 已建立 31839/rsyslogd

然而，当我检查日志服务器时，我将来自客户端的远程日志存储在 /var/log/remotelogs//

奇怪的是，一些文件（例如 systemd.log、sshd.log、rsyslogd.log、..）实时正确更新...但 myFile.log 不是

ls -la /var/remotelogs/<clientIP>
-rw-r----- 1 root root   1945150 Apr 21 15:07 myFile.log

如您所见.. 我的时间昨天下午 3 点左右它停止了... 是什么？还要检查服务器上的网络连接，一切似乎都是合法的......

$ sudo netstat -tulpan | grep syslog
tcp        0      0 0.0.0.0:10514           0.0.0.0:*               LISTEN      3608119/rsyslogd    
tcp        0      0 <serverIP>:10514      <clientIP>:42724       ESTABLISHED 3608119/rsyslogd      
tcp6       0      0 :::10514                :::*                    LISTEN      3608119/rsyslogd  

知道什么可能是错的吗？为什么有些文件没有传输而有些文件传输了？

我希望将我的 rsyslog 时间戳格式更改为特定日志文件 (msg) 的 RFC-3339。

我有以下文件/etc/rsyslog.d/10-zn.conf ，其内容如下：

:msg, contains, "my_prefix"       /var/log/zn.log

这意味着将所有包含“my_prefix”的行保存到/var/log/zn.log。

我希望将时间戳从 RSYSLOG_TraditionalFileFormat 更改为 %b %d %H:%M:%S 到 RFC-3339 但我可以找出如何为包含我的前缀的日志执行此操作，有什么办法吗它？

谢谢你

我正在使用 Graylog 服务器来集中来自网络设备和服务器的日志，我想知道交换机、Windows 机器和其他设备上的 Syslog 服务是否仍会在本地保存日志，或者只是远程发送它们并停止本地日志记录过程？

我在此处遵循 NXLog 的说明：https ://nxlog.co/documentation/nxlog-user-guide/linux-logs.html#linux_logs_forwarding_socket_example在 80.2 下关于将 syslog 消息转发到 NXLog。

它特别指出要重新启动 NXLog，然后重新启动 rsyslog，以便 NXlog 可以在 rsyslog 尝试写入之前创建套接字。

我的问题是，在重新启动期间，在不同版本的 Linux 中，哪个服务将首先启动是不明确的，我的猜测是 syslog 可能首先启动。如果 rsyslog 在 nxlog 之前启动会发生什么？rsyslog 会在 nxlog 启动并创建后恢复并开始写入套接字吗？

我面临问题。我有两个不同的harpxoylinux 服务器（在不同的网络范围内）。在一台服务器上，我可以看到日志文件中生成了日志，但在另一台服务器上，日志文件中没有生成日志。

我已经比较了来自两台服务器的几乎所有可能的配置文件，它们看起来相同，但仍然找不到问题所在的线索。

Working服务器 -

[root@<hostname> ~]# tail -f  /var/log/haproxy*.log
 
==> /var/log/haproxy.log <==
 
==> /var/log/haproxy-status.log <==
 
==> /var/log/haproxy-traffic.log <==
Oct 28 20:32:48 localhost haproxy[1347]: source_ip:52675 [28/Oct/2021:20:32:46.269] ssl~ logs/es_server1 98/0/1/1391/1950 200 103475 - - --VN 43/0/0/0/0 0/0 "POST /api/telemetry/v2/clusters/_stats HTTP/1.1"
Oct 28 20:33:47 localhost haproxy[1347]: source_ip:52709 [28/Oct/2021:20:33:46.294] ssl~ logs/es_server1 125/0/0/1426/1589 200 103369 - - --VN 43/0/0/0/0 0/0 "POST /api/telemetry/v2/clusters/_stats HTTP/1.1"

文件的所有权

-rw------- 1 root root       0 Jan 19  2020 /var/log/haproxy-status.log
-rw------- 1 root root 1980957 Oct 28 20:45 /var/log/haproxy-traffic.log
[root@<hostname> ~]#

ls -l /etc/rsyslog.d/haproxy.conf
-rw-r--r-- 1 root root 265 Jan 14  2020 /etc/rsyslog.d/haproxy.conf

/etc/rsyslog.d/haproxy.conf

# Collect log with UDP
$ModLoad imudp
$UDPServerAddress 127.0.0.1
$UDPServerRun 514
 
# Creating separate log files based on the severity
local0.* /var/log/haproxy-traffic.log
local0.notice /var/log/haproxy-admin.log
 
# don't put anything in /var/log/messages
& stop

rsyslog.conf文件 -

[root@<hostname> ~]# cat /etc/rsyslog.conf |grep -v '#'

$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
local6.*,auth.*,authpriv.*      @10.1.x.x

/etc/haproxy/haproxy.cfg文件 -

global
    user haproxy
    group haproxy
    daemon
    stats socket 127.0.0.1:14567
    log 127.0.0.1:514 local0 debug
 
defaults
    mode http
    log /dev/log local1 notice
 
    timeout connect 5000ms
    timeout client 50000ms
    timeout server 50000ms
    option httpclose
    option forwardfor except 127.0.0.0/8
    option redispatch
    option abortonclose
    option httplog
    option dontlognull
    .
    .

配置中提到的两个端口haproxy都已启动。

[root@<hostname> ~]#  netstat -tulnp |grep 514
udp        0      0 127.0.0.1:514           0.0.0.0:*                           1309/rsyslogd
[root@<hostname> ~]#
 
[root@<hostname> ~]#  netstat -antp |grep 14567
tcp        0      0 127.0.0.1:14567         0.0.0.0:*               LISTEN      1347/haproxy
[root@<hostname> ~]#

logs-

journalctl -fu rsyslog

Oct 28 15:00:10 <hostname> rsyslogd[1309]: imjournal: journal reloaded... [v8.24.0-57.el7_9.1 try http://www.rsyslog.com/e/0 ]
Oct 28 20:40:54 <hostname> rsyslogd[1309]: imjournal: journal reloaded... [v8.24.0-57.el7_9.1 try http://www.rsyslog.com/e/0 ]

[root@<hostname> ~]# journalctl -fu haproxy

-- Logs begin at Wed 2021-10-27 02:30:13 +03. --
Oct 27 20:28:29 <hostname> haproxy[1347]: Server tomcat-apps/App_server1 is DOWN, reason: Layer7 timeout, check duration: 2001ms. 0 active and 0 backup servers left. 0 sessions active, 0 requeued, 0 remaining in queue.

访问日志也出现在message日志中。

cat /var/log/messages | grep haproxy

Oct 28 21:27:47 localhost haproxy[1347]: source_ip:54604 [28/Oct/2021:21:27:46.309] ssl~ logs/es_server1 98/0/1/1364/1550 200 103362 - - --VN 43/0/0/0/0 0/0 "POST /api/telemetry/v2/clusters/_stats HTTP/1.1"
Oct 28 21:28:47 localhost haproxy[1347]: source_ip:54635 [28/Oct/2021:21:28:46.307] ssl~ logs/es_server1 151/0/0/1397/1647 200 103361 - - --VN 43/0/0/0/0 0/0 "POST /api/telemetry/v2/clusters/_stats HTTP/1.1"

Non-working服务器 -

以下文件没有登录

[root@<hostname> ~]# tail -f  /var/log/haproxy*.log 
==> /var/log/haproxy.log <==
 
==> /var/log/haproxy-status.log <==
 
==> /var/log/haproxy-traffic.log <==

所有权与上述相同

[root@<hostname> ~]# ls -l /var/log/haproxy*.log
-rw------- 1 root root 0 Sep  4  2020 /var/log/haproxy.log
-rw------- 1 root root 0 Sep  4  2020 /var/log/haproxy-status.log
-rw------- 1 root root 0 Oct 28 20:23 /var/log/haproxy-traffic.log
[root@<hostname> ~]#

ls -l /etc/rsyslog.d/haproxy.conf
-rw-r--r-- 1 root root 265 Aug  4 20:15 /etc/rsyslog.d/haproxy.conf

/etc/rsyslog.d/haproxy.conf

# Collect log with UDP
$ModLoad imudp
$UDPServerAddress 127.0.0.1
$UDPServerRun 514
 
# Creating separate log files based on the severity
local0.* /var/log/haproxy-traffic.log
local0.notice /var/log/haproxy-admin.log
 
# don't put anything in /var/log/messages
& stop

cat /etc/rsyslog.conf |grep -v '#'

$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
local6.*    @@10.1.x.x

/etc/haproxy/haproxy.cfg文件

global
    user haproxy
    group haproxy
    daemon
    stats socket 127.0.0.1:14567
    log 127.0.0.1:514 local0 debug
 
defaults
    mode http
    log /dev/log local1 notice
 
    timeout connect 5000ms
    timeout client 50000ms
    timeout server 50000ms
    option httpclose
    option forwardfor except 127.0.0.0/8
    option redispatch
    option abortonclose
    option httplog
    option dontlognull

ports- 这里有一些连接处于TIME_WAIT端口状态14567

[root@<hostname> ~]# netstat -tulnp |grep 514
udp        0      0 127.0.0.1:514           0.0.0.0:*                           21740/rsyslogd
[root@<hostname> ~]#
 
 
[root@<hostname> ~]# netstat -antp |grep 14567
tcp        0      0 127.0.0.1:14567         0.0.0.0:*               LISTEN      18749/haproxy
tcp        0      0 127.0.0.1:14567         127.0.0.1:36168         TIME_WAIT   -
tcp        0      0 127.0.0.1:14567         127.0.0.1:36170         TIME_WAIT   -
tcp        0      0 127.0.0.1:14567         127.0.0.1:36242         TIME_WAIT   -
tcp        0      0 127.0.0.1:14567         127.0.0.1:36348         TIME_WAIT   -
tcp        0      0 127.0.0.1:14567         127.0.0.1:36332         TIME_WAIT   -

检查logs但没有找到与此问题相关的任何内容。

journalctl -fu rsyslog
 
Oct 28 21:00:01 <hostname> rsyslogd[21740]: action 'action 9' resumed (module 'builtin:omfwd') [v8.24.0-57.el7_9.1 try http://www.rsyslog.com/e/2359 ]
Oct 28 21:00:01 <hostname> rsyslogd[21740]: action 'action 9' resumed (module 'builtin:omfwd') [v8.24.0-57.el7_9.1 try http://www.rsyslog.com/e/2359 ]

[root@<hostname> ~]#  journalctl -fu haproxy
-- Logs begin at Thu 2021-10-28 10:23:25 +03. --
Oct 28 16:34:17 <hostname> haproxy[11346]: Proxy stats started.
Oct 28 19:59:29 <hostname> systemd[1]: Stopping HAProxy Load Balancer...
Oct 28 19:59:29 <hostname> haproxy-systemd-wrapper[11345]: haproxy-systemd-wrapper: SIGTERM -> 11347.
Oct 28 19:59:29 <hostname> haproxy[18748]: Proxy ssl started.
Oct 28 19:59:29 <hostname> haproxy[18748]: Proxy stats started.

这里的message日志文件有haproxy access日志，但它不会进入其单独的文件。

cat /var/log/messages | grep  haproxy
 
Oct 28 10:19:52 <hostname> audispd: node=<hostname> type=SERVICE_START msg=audit(1635405592.054:45): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=haproxy comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
Oct 28 10:19:52 <hostname> haproxy[1749]: Proxy ssl-pingaccess started.
Oct 28 10:19:52 <hostname> haproxy[1749]: Proxy ssl started.
 
Oct 28 10:19:52 <hostname> haproxy[1749]: Server ssl-pingaccess/192.168.157.41 is DOWN, reason: Layer4 connection problem, info: "Connection error during SSL handshake (Connection refused) at initial connection step of tcp-check", check duration: 0ms. 0 active and 0 backup servers left. 0 sessions active, 0 requeued, 0 remaining in queue.
Oct 28 10:19:52 <hostname> haproxy[1749]: backend ssl-pingaccess has no server available!

这些文件在两台服务器上都是相同的

both are same
 
/usr/lib/systemd/system/rsyslog.service
 
/usr/lib/systemd/system/haproxy.service
 
/etc/sysconfig/haproxy
 
/etc/sysconfig/rsyslog
 
/etc/logrotate.d/haproxy

都有rsyslog-8.24.0-57.el7_9.1.x86_64和haproxy-1.5.18-9.el7_9.1.x86_64包。

两台服务器上的配置几乎相同，但在非工作服务器上，日志不会进入其自己的日志文件。

任何人都可以请帮忙。

谢谢，

所以这是我们的设置

服务器：rsyslog 服务器 - CentOS 7

客户端：Cisco Catalyst C6880-X-LE

/etc/rsyslog.conf 从 CentOS 7 服务器：

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal

$template TmplAuth, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.* ?TmplAuth
*.info;mail.none;authpriv.none;cron.none ?TmplMsg
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log

由于文件夹中的某种原因，/var/log/client_logs每次在交换机上生成新的日志消息时，cisco 日志都会创建一个新的 .log 文件。这显然不理想，我希望 rsyslog 将所有日志放在一个文件中，并且我计划让 logrotate 处理每天创建一个新的日志文件。

这是我在/var/log/client_logs目录中看到的示例

-rw------- 1 root root 184 Oct 13 14:30 156598.log
-rw------- 1 root root 164 Oct 13 14:30 156599.log
-rw------- 1 root root 186 Oct 13 14:30 156600.log
-rw------- 1 root root 162 Oct 13 14:30 156601.log
-rw------- 1 root root 184 Oct 13 14:30 156602.log
-rw------- 1 root root 164 Oct 13 14:35 156603.log
-rw------- 1 root root 186 Oct 13 14:35 156604.log
-rw------- 1 root root 162 Oct 13 14:35 156605.log
-rw------- 1 root root 184 Oct 13 14:35 156606.log
-rw------- 1 root root 164 Oct 13 14:35 156607.log
-rw------- 1 root root 186 Oct 13 14:35 156608.log
-rw------- 1 root root 162 Oct 13 14:35 156609.log
-rw------- 1 root root 184 Oct 13 14:35 156610.log
-rw------- 1 root root 162 Oct 13 14:39 156611.log
-rw------- 1 root root 164 Oct 13 14:41 156612.log
-rw------- 1 root root 186 Oct 13 14:41 156613.log
-rw------- 1 root root 162 Oct 13 14:41 156614.log
-rw------- 1 root root 184 Oct 13 14:41 156615.log

考虑到它正在为从 Cisco 交换机发送的每条新消息创建一个 .log，这将永远持续下去。以下是这些日志文件之一的内容示例

2021-10-13T14:41:10.866435-07:00 X 156613: X-Switch: .Oct 13 13:40:44 PST: %LINEPROTO-SW1-5-UPDOWN: Line protocol on Interface GigabitEthernet195/1/0/11, changed state to down

我不确定问题出在 Cisco 交换机上的配置还是我的 rsyslog 配置上，但我之前已经这样做过，并且从未遇到过为发送到服务器的每条消息创建新的 .log 文件的任何问题。

这是 Cisco 交换机端的配置

Switch1#show run | include logging
logging userinfo
logging reload debugging
logging event link-status default
logging origin-id hostname
logging host 10.1.1.1
 logging synchronous
 logging synchronous

仅供参考，该logging host语句是 CentOS 7 rsyslog 服务器的 IP 地址。从其他主机捕获的所有其他日志都很好，并且不会为收到的每条消息创建新的 .log 文件，但是发送日志的其他系统不是 Cisco 交换机，它们都是各种 Linux 风格（主要是 CentOS 和 RHEL）。

知道为什么 rsyslog 会为它从这个 Cisco Catalyst 交换机收到的每条消息创建新的 .log 文件吗？

在系统日志（Raspbian rsyslog swVersion="8.1901.0"）中，

我正在尝试将包含特定字符串的系统消息匹配/过滤到/var/log/syslog（默认）和自定义单独的日志文件，即：/var/log/nut.log.

我已经能够通过将以下过滤器行放入来实现/etc/rsyslog.conf：

# NUT logging: Include USB msgs since montoring UPS via only USB
:msg,contains,"USB" /var/log/nut.log
& stop
:msg,contains,"nut-" /var/log/nut.log
& stop

& stop一旦进行匹配，就需要停止过滤器。我相信首选方法是将其放在专用文件中，即：/etc/rsyslog.d/0-nut.conf

但是，当我这样做时，过滤器会停止记录到/var/log/syslog，并专门记录到/var/log/nut.log... ？

有不同的方法可以做到这一点吗？

谢谢！