Я настроил Rsyslog для получения данных по разным портам, а по каждому порту данные хранятся в отдельном файле.
Проблема в том, что я не могу отменить сообщения, полученные через порт из-за их содержимого.
В поисках информации я обнаружил, что многие предлагают использовать следующее:
:msg, contains, "test message to discard" ~
Но я не вижу, как вписать это для каждого порта в код для работы только на одном из портов.
ruleset(name="port1000") {action(type="omfile" file="/tmp/msg-port-1000")}
input(type="imtcp" port="1000" ruleset="port1000")
ruleset(name="port2000") {action(type="omfile" file="/tmp/msg-port2000")}
input(type="imtcp" port="2000" ruleset="port2000")
Ожидаемый результат - возможность фильтрации по одному слову в одном порту и по другому слову в другом.