链接1

MODULES

module(load="imuxsock" SysSock.Use="off") #imuxsock模块，支持本地系统日志的模块
module(load="imjournal" StateFile="imjournal.state") #imjournal模块，支持对系统日志的访问（此模块与上一模块默认启用
module(load="imfile" PollingInterval="1") #imfile模块，支持对文件进行操作
module(load="imklog") #imklog模块，支持内核日志的模块
module(load="immark") #immark模块，支持日志标记

提供远程rsyslog日志的udp协议的接收支持

module(load="imudp") #imudp模块，用于支持udp协议
input(type="imudp" port="514") #允许通过514端口接收使用udp协议的远程日志

提供远程rsyslog日志的tcp协议的接收支持

module(load="imtcp") #imtcp模块，用于支持tcp协议
input(type="imtcp" port="514") #允许通过514端口接收使用tcp协议的远程日志

GLOBAL DIRECTIVES

global(workDirectory="/var/lib/rsyslog") #工作目录
module(load="builtin:omfile" Template="RSYSLOG_TraditionalFileFormat") #定义日志格式默认模板（可以自行设定，参看template部分）
include(file="/etc/rsyslog.d/*.conf" mode="optional") #需要引入的自定义配置文件的路径

RULES

内核消息，默认不启用

kern.* /dev/console

记录所有日志类型的，信息等级大于等于info级别的信息到messages文件（mail邮件信息，authpriv验证信息和corn时间和任务信息除外）

*.info;mail.none;authpriv.none;cron.none /var/log/messages

authpriv验证相关的所有信息存放在/var/log/secure

authpriv.* /var/log/secure

邮件的所有信息存在/var/log/maillog；这里有一个“-”符号表示是使用异步的方式记录

mail.* -/var/log/maillog

任务计划有关的信息存放在/var/log/cron

cron.* /var/log/cron

记录所有的≥emerg级别信息，发送给每个登录到系统的日志

.emerg :omusrmsg:

记录uucp，news.crit等

uucp,news.crit /var/log/spooler

本地服务器的启动的所有日志

local7.* /var/log/boot.log

生成模板

$template SpiceTmpl,"%msg:2:$%\n"
$template CatalinaDynaFile,"/var/log/rsyslog/%fromhost-ip%/catalina_%$YEAR%-%$MONTH%-%$DAY%.log"

匹配规则，文章后面将分享其他配置类型

:fromhost-ip,contains,"3.21.75.99" ?CatalinaDynaFile;SpiceTmpl