Gregory MOUSSAT's questions

在文件服务器上，基本文件夹包含用户的文件夹：

此基本文件夹受到保护，不受用户操作（删除、重命名、文件转储等）的影响，用户只能读取和遍历它：

为了保护每个用户的根文件夹，我明确拒绝他们删除自己的文件夹的权利：

这意味着deny在每个文件夹上添加一个。
在基本文件夹上执行此操作不起作用：deny对组Users到delete子文件夹，因为This foler only--> 他们仍然可以删除自己的文件夹，因为继承权限（拒绝删除）的优先级低于显式权限（允许修改）。

使用我的方法，用户仍然可以隐藏自己的根文件夹。这不是问题，但它表明该文件夹没有 100% 防止操作。

1. 我使用“规范”方法吗？
2. 如何防止用户隐藏自己的文件夹？或者任何其他烦人的事情
3. 有什么建议么？

使用监视器运行 QEMU/KVM：kvm ...some_parameters... -monitor unix:/my_path/my_fifo,server,nowait

然后我们可以使用socat - UNIX-CONNECT:/my_path/my_fifo然后键入命令进行连接。
简单方便。

我想将监视器接口暴露给本地网络（根据安全方法，可能使用 socat），这是相当安全的。如何保护对显示器的访问？

我没有看到任何可用的密码选项、证书等。所以我怀疑我必须依赖 QEMU/KVM 外部的方法。

在配备 24 GiB 内存的 Windows 2019 服务器上，只有大约 1 GiB 是可用的。
但是当我使用Task Manageror时Process Explorer，没有进程使用超过一些 MiB。

如果我添加每个进程使用的内存，总和只有 3 GiB（我使用 Process Explorer 导出数据并在电子表格中进行总和）。

总内存：24 GiB已
用内存：23 GiB已
使用交换：4 GiB
每个进程内存之和：3 GiB

我总结Private Bytesor Working Set，每个总共大约 3 GiB。
我知道这两个指标远非最佳指标，但这些工具无法提供更好的指标。与现实相差近一个数量级！

如何更好地了解内存使用情况？
图形显示WinDirStat会非常好，但由于这个问题是 Windows 的主要问题，我怀疑是否存在任何简单的问题。

我有一台旧的 NEC Express5800/T120d 服务器。
它在 Windows 下以合理的风扇速度运行。
我现在想在家里用它和 Debian 一起使用，但粉丝们总是全速前进。

电源风扇全速运转。有了 Windows，它很安静。主板和电源之间有一根数据线。
1 个后置风扇 + 3 个前置风扇也全速运转。使用 Windows，它们相对安静。
BIOS 和 IPMI 控制台中没有关于风扇控制的内容。仅显示当前速度。

我安装lm-sensors但fancontrol没有成功：

$ sensors-detect
... with YES answer everywhere ...
Driver "coretemp":
  * Chip `Intel digital thermal sensor' (confidence: 9)
Driver "to-be-written":
   * ISA bus, address 0xca2
    Chip `IPMI BMC KCS' (confidence: 8)

所以sensors-detect只看到不可用的设备。

仅此而已pwmconfig：

$ pwmconfig
/usr/sbin/pwmconfig: There are no pwm-capable sensor modules installed

我安装了freeipmi / freeipmi-tools：

$ ipmi-sensors
...
29 | PSU1 Temp        | Temperature                         | 24.00      | C           | 'OK'
...
32 | FAN1             | Fan                                 | 7936.51    | RPM         | 'OK'
33 | FAN2             | Fan                                 | 933.71     | RPM         | 'At or Above (>=) Upper Non-Critical Threshold'
34 | FAN3             | Fan                                 | 933.71     | RPM         | 'At or Above (>=) Upper Non-Critical Threshold'
35 | FAN4             | Fan                                 | N/A        | RPM         | N/A
36 | AIRVOL1          | OEM Reserved                        | 1.31       | unspecified | 'OK'
37 | AIRVOL2          | OEM Reserved                        | 1.31       | unspecified | 'OK'
...

但是除了看风扇速度我不知道该怎么做。
freeipmi 中包含的大多数 IPMI 程序都要求提供主机名和用户/密码，但我无法理解要输入的内容。

我也尝试过upmiutil打包ipmitool，但没有取得更好的成功。它们都给了我风扇状态，但我不明白如何配置它们。

当我使用时，sc create "myService" binpath= “C:\Program Files\myService\myService.exe"我无法配置服务的某些方面。特别是在（第一次失败时的操作、第二次失败时的操作、之后重新启动服务等）中 Recovery看到的选项卡。services.msc

我目前是手动修改这些参数，但是有没有更好的方法呢？
一个PowerShell命令左右？我对 PowerShell 的发现并不比sc.

我有一个 ADSL 连接和一个 4G 备用连接，每个连接在同一子网上都有自己的调制解调器/路由器192.168.0.0/24：192.168.0.1(ADSL) 和192.168.0.2(4G)
默认网关是192.168.0.1(ADSL)，因此备用路由器永远不会用于传出连接。

我在每个路由器上打开了 TSE/RDP 端口，以连接本地网络上的多台计算机。

使用旧的 Windows 2003 和旧的 Windows XP，从任何路由器传入的连接都可以：当我通过 ADSL 或 4G 连接时，我可以与这些旧的 Windows 计算机进行交互。
因此，这些 Windows 通过始发路由器发回数据包。这可能不是一个“好”的行为，但对于我的需要来说它非常好。

在 Windows 2012 中，数据包仅通过默认网关发回，这是合乎逻辑的做法。
如何告诉 Windows 2012 将数据包发送回原始路由器，例如 Windows 2003？

我认为这被称为“源路由”，但似乎这不是确切的表达方式。

大约 1 年以来，我对 Windows 客户机总是有同样的错误：每次重新启动时，Windows 都会说网络身份不明。所以网卡被命名为“Ethernet 8”然后是“Ethernet 9”然后是“Ethernet 10”等等。

主机是 Debian Jessie，并按照非常简单的官方指南安装了 Proxmox。
客人是Windows 2012R2和Windows 2016（我目前没有其他口味）。

我有同样的行为：

• 使用 Intel E1000 或半虚拟化驱动程序（我没有测试过其他驱动程序）
• 与我们所有的 Windows 客人一起。测试，生产，也不例外
• 客人在 1 年前安装，客人昨天安装在新主机上

我在网上搜索并没有发现任何有价值的东西。正如我每次都会想到的那样，要么我犯了错误，要么很常见。但由于搜索引擎什么也没给我，我怀疑是个错误。

@Michael Hampton：MAC 是固定的，就像我知道的每个虚拟机一样。我刚刚在新来宾上进行了验证，并且重新启动后没有任何更改。

我知道如何在 Windows 主机启动时自动打开控制台会话（推荐的方法是使用加密密码：https ://docs.microsoft.com/en-us/sysinternals/downloads/autologon ）。
当服务器运行需要运行 GUI 的编写不当的程序时，这很有用，而它应该作为服务运行，或者至少在后台运行。

会话打开后，可以锁定屏幕并且程序继续工作。管理员甚至可以使用另一个会话进行 RDP（这也锁定了控制台会话）。到目前为止，我没有看到任何例外。

这种方法会导致几个问题。一些最大的：

• 一个会话在控制台上是敞开的。服务器前面的任何人都可以完全访问此会话，否则任何击中未受监控的键盘/鼠标的东西都可能导致灾难。我们可以通过短暂的屏幕超时来缓解这种情况
• 以这种方式只能打开一个会话。因此，当我们需要它用于 2 个不同的非同居项目时，我们就完蛋了

我想在服务器启动时自动打开几个非控制台会话。好像打开了几个远程桌面会话然后断开连接。然后，被指控的程序可以在单独的会话中使用 GUI 运行。
--> 知道如何实现吗？

我有一个 Windows 2008 服务器。
此服务器充当 DHCP 角色。
LAN 为 192.168.0.0/23 （从 192.168. 0 .0 到 192.168. 1 .255，网络掩码为 255.255.25 4 .0）。 DHCP 当前分配地址从 192.168.0.50 到 192.168.0.249，网络掩码为 255.255.25 4 .0

我想添加更多可用地址。空闲地址从 192.168.1.50 到 192.168.1.219

如何分配来自 2 个非连续区域的地址？
创建2个“范围”？
或者创造一个大范围，中间有一个洞？

我尝试使用全局范围，但 Windows 拒绝第二个范围，因为它认为它与现有范围重叠（这不是真的，但网络掩码可能会混淆它）。

一个解决方案可能是创建一个大范围，然后进行大量保留以创建漏洞。但这是一项乏味的任务，并不聪明。

我经常在 Windows 文件服务器上使用集成的 VSS 功能，让用户自己恢复一些文件。这也允许 IT 团队在涉及很少文件时快速完成工作，这是最常见的问题。

例如，我每工作小时服用一个 VSS（每天 10 个），并在 4 周内保留它们（每周 5 个工作日）-> 总计 = 200 VSS 4 周

我想使用一些“灵活”的保留策略：
例如，在 3 个工作日内保持每小时 VSS，然后在接下来的 7 个工作日内每天保持 4 VSS，然后在接下来的 10 个工作日内每天保持 2 VSS -->总计 = 78 VSS，持续 4 周

两种情况下 VSS 占用的空间应该是相似的。
我的意思不是节省空间。这是为了延长 VSS 期间保留的周数。但由于 NTFS 最多可以有 512 个 VSS，因此每小时 VSS 不能持续超过 10 周。这是一个巨大的数字。

问题：您认为我应该编写一个 PowerShell 脚本来管理 VSS 保留策略吗？或者我可以使用已经完成的东西（脚本或软件）吗？

在用作远程桌面的 Windows 2012 R2 服务器上，我们安装了 Microsoft Office 2013 64 位。

几周后，安装了一个会计软件。这需要 Microsoft Office 32 位（我们用 64 位测试：失败）。

所以我卸载了64位版本，安装了32位版本。

Word 和 Excel 运行良好。
但是 Outlook 在启动时会显示一条恼人的错误消息（但可以完美运行）。
以管理员身份运行 Outlook 时不显示该消息（作为管理员是不够的，我们必须右键单击并要求以管理员身份运行）。

• 当有人运行 Outlook 时，我们首先看到通常的蓝色矩形，中间写着“Outlook”
• 然后我们立即有一个小窗口，标题为“Microsoft Office 64-bit Components 2013”​​，进度条显示“Windows 正在配置 Microsoft Office 64-bit Components 2013，请稍候”
• 1 或 2 秒后，出现一个错误弹出窗口，指示“错误 2503：发生内部错误。请联系 Microsoft 支持 blahblah”
• 我们点击“确定”
• 我们立即有相同的弹出窗口，但出现错误 2502
• 我们点击“确定”
• Outlook 现在可以正常运行，直到我们下次运行它

每次有人运行 Outlook 时，我们都会遇到完全相同的情况。
即使以管理员权限运行，也会发生步骤 1 和 2。

我卸载/重新安装了 32 位版本。
我进行了修复安装。

我删除了一个残留的C:\Program Files\Microsoft Office\.
如果我们以管理员权限运行 Outlook，则会重新创建它。
不管有没有这个文件夹，错误都是一样的。我什至测试了此文件夹及其内容的所有人的完全权限。

有什么想法可以解决这个问题吗？

每天晚上，我都会将几个带有 rsync 的虚拟磁盘从一台 Linux Debian 计算机复制到另一台 Linux Debian。
大多数文件都是带有“漏洞”的原始图像：有些部分从未被写入，因此在磁盘上保持未分配。

rsync 挂在一个文件上，总是一样的。每次传输 50 Gb 后都会发生挂起。我不确定这是否总是在同一点，但ls -sh显示 50 Gb。
这是一个包含 151 Gb 的 800 Gb 文件（因此 649 Gb 未分配）。其他一些虚拟磁盘也有类似的数字，并且 rsync 在它们上运行良好。

如果我使用 rsync 在本地更新文件，而不涉及任何网络，我将有完全相同的行为（使用--no-whole-file，这是一个要求，请参见下文）。

一旦 rsync 停止，它会使用一个 CPU 核心到 100% 并且在接收端使用零磁盘活动（这是一个拉取请求，因此从这一端运行 rsync）以及在发送端使用零 CPU 和零磁盘。
我让它运行了几个小时。
Ctrl+c立即停止 rsync。
当运行到本地复制时，一旦停止，我也有一个 CPU 核心达到 100% 并且磁盘活动为零。

我发现的唯一例外是当我将此文件同步到新位置时（即目标文件不存在）。所以我怀疑这个问题与新旧数据的比较有关。

我--inplace用来限制对目标磁盘的写入，因为每次备份后都会使用快照。所以这个选项是必需的，rsync 也是必需的，除非我发现一个工具能够只更新这些文件的更改部分。

我备份了几个虚拟磁盘（总计 = 大约 4 Tb），保留时间为几周。

我在专用于主备份的计算机中使用 4 x 4 Tb 磁盘。文件系统是 ZFS RAIDZ2，所以 8 Tb 可用。
4 x 2 Tb 磁盘（4 Tb 可用）的辅助备份位于单独的建筑物中，用于存储上周日的备份。

我通过创建快照来管理保留：每次备份后，都会在主备份文件系统上创建一个快照。超过 90 天的快照将被删除。修改后的数据量在 90 天内小于 4 Tb，所以一切正常（实际上我有 30 最后几天 + 9 前几周 + 10 前几个月，但这不是重点）。

在辅助备份中，我只有一个备份。我也计划实施保留。
我首先想到升级到 4 x 4 Tb 磁盘（因为空间不足，我无法升级到 6 x 2 Tb）并像在主备份中一样做快照。

如果我在辅助备份上使用 ZFS 压缩 + 快照，而不是升级硬件，该怎么办？
例如，压缩将导致 600 Gb 空闲。然后快照将保留几天。

保存的虚拟磁盘使用 rsync 更新，因此只修改了一小部分。所以我认为只有小部分被“传输”到快照。但我没有找到任何消息来源证实这会像我想的那样有效。

问题：在 Linux 上使用 ZFS 进行压缩，是否可以有效地对非常大的文件进行零散修改进行快照？

我们的一些用户对他们的 Windows 计算机进行一些基本的管理。
他们的帐户是普通用户，他们有一个本地管理员来执行他们喜欢的任何事情：安装一些垃圾软件，破坏打印机设置，让病毒扎根，等等（我听说他们中的一些人行事负责任，但我认为这是一个本地都市传奇）。
 

情况1

• 工作组中的 Windows 计算机
• 只有一名本地管理员，名为“local_admin”

当普通用户需要输入管理员凭据时，弹出窗口会填充“local_admin”，用户只需输入密码。

➞ 完美
 

案例2

• 工作组中的 Windows 计算机
• 一位名为“local_admin 1”的本地管理员
• 一位名为“local_admin 2”的本地管理员

当普通用户需要输入管理员凭据时，弹出窗口为空，用户必须输入“local_admin x”和密码。

➞ 我们如何预先填写“local_admin 1”？  

案例3（我们拥有的那个）

• 名为“company_domain”的域中的 Windows 计算机
• 计算机的名称是“local_name”
• 只有一个本地管理员，名为“local_admin”（但我认为如果他们有几个，这完全一样）

当普通用户需要输入管理员凭据时，弹出窗口为空，但域已预先填充“company_domain”。所以用户必须输入用户“local_name\local_admin”和密码，这很不方便，因为他们大部分时间都必须记住/记下密码以及便利贴上的密码。

➞ 如何预填本地计算机名代替域名，或预填完整的本地管理员名称“local_name\local_admin”？

我们目前为每个用户创建一个 Active Directory admin_name，然后配置他们的计算机以将此 admin_name 放入本地管理员组（我们也可以从 Active Directory 中进行）。
这种方法容易出错，然后导致有问题的管理员权限泄漏。

我在使用适用于 Windows 7 pro 64 位的 KONICA MINOLTA 224e 打印机驱动程序时遇到问题。

当用户从控制面板更改打印机设置时，例如从彩色切换到单色，当我们重新打开打印机设置时，设置将恢复为默认值。

问题仅出在此驱动程序上。其他 KONICA 和其他品牌的驱动程序没有出现此问题。
问题在于我们所有的 Windows 7。不是 Windows XP 32 位/8.1 64 位/2012 R2。
我们只有 64 位版本的 Windows 7 pro，所以我不知道 32 位是否有同样的问题。
我们的 Windows 7 来自不同的来源：有些是手动安装的，大多数是由 HP/Lenovo/whatever 预安装的。

我使用官方驱动程序，来自官方 KONICA 网站的最新版本。

普通用户和管理员会出现此问题。

临时解决方法：为此打印机选择另一个驱动程序，然后恢复为正确的驱动程序。现在可以修改设置，直到重新启动（注销+登录是可以的。只有重新启动重置为不希望的行为）。重新启动后，注册表值正常，但一旦我们使用打印机或打开设置，就会恢复为默认值。

即使将所需的值写入注册表HKEY_CURRENT_USER\Printers\DevModes2\xx_Printer_Name_xx也不会强制执行设置，因为一旦我们使用打印机或打开设置，一切都会恢复为默认值。
所以我认为应该写入注册表中的另一个值，但我不知道是哪个值。

我的 Google 搜索没有返回与我的问题相关的任何内容。

有人有建议吗？

我们使用 WebDAV 来共享 Outlook 日历。

我在 Windows 2012 R2 上使用 IIS 设置了 WebDAV 服务器。它工作正常。
此 Windows 2012 R2 位于本地网络上，属于 Active Directory 的域。每个客户端也都在本地网络上，并且属于同一个域。
WebDAV 的 IIS 站点仅使用“Windows 身份验证”，这是推荐的设置。

当域用户第一次访问 WebDAV 共享时，他必须等待大约 5 秒钟，然后才需要输入凭据。用户然后键入他的域用户/密码并授予访问权限。
WebDAV 凭据存储在 Windows 的凭据缓存中（您可以使用 来查看/修改rundll32.exe keymgr.dll,KRShowKeyMgr）。

如果用户随后更改他的域密码，则对 WebDAV 共享的访问将不再有效，因为使用的凭据是存储在缓存中的旧凭据。

在 Outlook 和资源管理器中使用 WebDAV 时会出现此行为。
我们目前只需要解决 Outlook 的问题。

问题：如何让 Outlook 使用当前登录的用户凭据，而不是要求输入？因此，当用户更改密码时，一切仍然有效。

更新：在客户端计算机上，我明确地将 WebDAV 共享放入 Internet Explorer 的 Intranet 区域。我还明确配置 Internet Explorer 以使用当前用户的凭据（这不是默认设置）。但没有改善。

在全新安装 Debian Jessie 后，我设置了静态 IP 地址后，DHCP 客户端仍然处于活动状态。续租时，它甚至会恢复为 dhcp IP 地址。

第 1 步：我修改 /etc/network/interfaces：

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

auto eth0
allow-hotplug eth0
iface eth0 inet static
        address   192.168.0.8
        netmask   255.255.255.0
        network   192.168.0.0
        broadcast 192.168.0.255
        gateway   192.168.0.5

第 2 步：我重新启动网络systemctl restart networking.service（没有错误消息）

第 3 步：检查 dhclient 是否正在运行：ps x | grep [d]hclient
-->dhclient -v -pf /run/dhclient.eth0.pid -lf /var/lib/dhcp/dhclient.eth0.leases eth0

如果我重新启动，dhclient 仍然会启动。
我在使用静态 IP 地址安装的每个 Debian Jessie 上都有这种行为。

我没有发现 dhclient 是否已启动：find并grep没有发现任何内容/etc，而且/usr/lib
我不习惯 systemd，而且我不明白 dhclient 是否由 systemd 启动。

正在运行的进程是（我删除了我的 Bash 会话）：

/sbin/init
/lib/systemd/systemd-udevd
/lib/systemd/systemd-journald
/usr/sbin/cron -f
/usr/sbin/atd -f
/lib/systemd/systemd-logind
/usr/bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation
/usr/sbin/rsyslogd -n
/usr/sbin/acpid
/bin/login --
/usr/sbin/exim4 -bd -q30m
dhclient -v -pf /run/dhclient.eth0.pid -lf /var/lib/dhcp/dhclient.eth0.leases eth0
/usr/sbin/sshd -D
/usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 108:113

问题1：dhclient是如何启动的？
问题2：阻止它运行的“官方”方式是什么？（除了apt-get remove/purge）

我们所有的 Windows 8.1 计算机突然拒绝远程桌面连接。

问题是当我们连接到Windows 8.1时我们
连接到其他 Windows 版本时没有问题。

编辑：通过 Microsoft 更新 KB2962806 解决了问题。感谢 Bertrand SCHITS 的回答。

到目前为止，我们发现了什么：

• 我们始终可以以本地用户身份连接。该问题仅适用于域用户（管理员和普通用户）
• 我们可以连接旧的 mstsc.exe 版本。例如，我们可以从 Windows 2003 和 2003 R2 计算机连接。我们无法从 Windows 7、Windows 8.1 和 Windows 2012 R2 连接。
  如果我们将旧的 mstsc.exe（版本 5.2.xxxx）从 Windows 2003 复制到更新的计算机，我们可以连接
• 如果我们从旧的 mstsc.exe 版本（如上所述）连接，那么在几分钟内我们可以从我们想要的任何版本连接。我们必须在随机时间（从 30 秒到几个小时）后再次使用旧版本
• 对于最近的 mstsc.exe 版本，我们有时无法连接某些用户，但这适用于其他用户。一旦我们使用旧版本，这种行为就会消失，并且可以在 2 天后重新出现
• （感谢 Warren 的回答）如果我们手动添加enablecredsspsupport:i:0到 .rdp 文件中，则在连接之前不会询问凭据（因此行为与旧客户端相同），我们可以连接任何客户端版本。但是我们不能自动连接，而且登录过程每次都涉及到选择以另一个用户身份登录（即使是同一个用户）
• （感谢 Pathum Anjana）我们在连接的两侧应用了可选更新 KB2830477

我们测试了什么：

• 我们测试了从本地网络到本地，以及从远程到本地。没有不同
• 我们禁用了防火墙
• 我们测试了使用 gpedit.msc 禁用所有安全功能Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security
• 我们启用了对登录事件的审核，但日志中没有任何内容。其他日志没有什么明显的（如何启用 RDP 协议日志？）
• 我们在位于另一个网络（域不相关）的一台计算机上进行了测试，该计算机仅安装了 7-zip。没有打印机驱动程序，没有组策略，没有别的。它只是最新的 Windows 8.1。我们有完全相同的问题
• 我们问了谷歌，他说“我真的不知道”。他现在将我们引导至此页面，这是一个非常好的答案，但没有真正的帮助
• 我们删除了所有更新，直到 2 月 25 日（问题发生前几天）。没有改进，因此问题可能是通过最近的更新将现有设置设置为不同的值（并且在删除更新时不会恢复，这可能是通常的行为）

当我们无法连接时，错误消息与我们使用错误密码得到的错误消息完全相同（但没有进入安全日志）：

• 每台计算机都有有效的许可证
• 我们使用 MSE 作为防病毒软件
• 一些 Windows 8.1 由制造商 (Lenovo) 预装，而另一些则由我们安装。我看到的唯一共同因素是我们管理所有这些

关于我们可以做些什么来解决这个问题的任何想法？

我寻找一种方法来防止网络访问不属于我们公司 Active Directory 域的设备。

有些人将他们的个人笔记本电脑连接到我们的公司网络，其中一些人无意中造成了问题。

我已经使用 DHCP 策略给他们一个单独的 DNS 名称 (aliens.contoso.com)，让我可以快速查看是否连接了这样的设备（我只是看看 DNS 控制台）。当客户端不属于我们的 contoso.com 域时，将激活此策略。
这种方法的问题是：不需要的笔记本电脑已经完美地纠正了 IP 设置，因此用户可以使用它。
这只允许有一个单独的 DNS 名称。我无法指定其他路由器或不可用的 IP 地址。

我们想为这些笔记本电脑分配不可用的 IP 设置。所以用户不会使用它，也不会打电话给我们。这将使我们能够确保笔记本电脑是干净的，并为用户提供指导。

当然，他们可以手动输入正确的设置，但我们的用户很少能做到这一点，这将大大减少问题。
我不打算强制使用 802.1X 进行网络访问。我知道 DHCP 方法较弱。

我认为我们可以使用 Network Protection Server 来做到这一点（我们的服务器使用 Windows 2012 R2），但我不明白怎么做。

我需要对一些日志消息采取一些措施。例如，我想根据严重性将它们记录到不同的文件中。

如果我使用这个，一切都很好：

if $programname == 'myprog'                                       then -/var/log/myprog.log
if $programname == 'myprog' and $syslogseverity-text >= 'warning' then -/var/log/myprog-alert.log
if $programname == 'myprog' ~

这将“myprog”发出的每条消息记录到 /var/log/myprog.log
这个日志只记录“myprog”发出的警告和错误消息到 -/var/log/myprog-alert.log
然后停止处理（谢谢到'〜'）

.

我喜欢更性感的东西：

if $programname == 'myprog' then {
    *.*         -/var/log/myprog.log
    *.warning   -/var/log/myprog-alert.log
    ~
}

但是这个后来的构造，虽然被 rsyslog 接受，但不过滤程序名。
例如，即使来自任何进程，每条消息都会写入 /var/log/myprog.log。

.

任何人都可以解释我的错误或误解在哪里？

.

最终方法，来自以下答案：

使用“现代” rsyslogd。版本 > 7.xy
使用以下语法：

if $programname == 'myprog' then {
    *.warning   -/var/log/myprog-alert.log
    *.*         -/var/log/myprog.log
    *.*         stop
}

或者这个：

if $programname == 'myprog' then {
    *.warning   -/var/log/myprog-alert.log
                -/var/log/myprog.log
                stop
}