У меня есть сервер syslog, собирающий журналы с удаленных хостов через 514 / UDP. Я хочу написать фильтр для журналов, поступающих из разных исходных кодов -ip.
Условие 1. Журналы с определенными IP-адресами, такими как 123.4.6.5, 10.9.0.7, 34.56.87.0, 32.12.54.6 с сообщением «Удаленные хосты», должны идти в var / log / rsyslog / $ source-ip.log
condition2: журналы, приходящие с других исходных ip, кроме тех, которые находятся выше, с каждым сообщением в них, должны идти в va / log / rsyslog / $ source-ip.log
Пожалуйста, помогите мне в написании rsyslog-фильтра