J'exécute actuellement Graylog pour recevoir les journaux de mon instance Pi-Hole et Snort. Cependant, rsyslog envoie également tous les journaux, par exemple java, sudo, etc.
Comment configurer Rsyslog pour ne consigner que les entrées spécifiques à Snort et Pi-Hole. Rien d'autre n'a besoin d'être connecté.
Mon fichier /etc/rsyslog.conf actuel se présente comme suit:
module(load="imuxsock") # provides support for local system logging
module(load="imklog") # provides kernel logging support
module(load="imfile" PollingInterval="10") #used for Pi-Hole logging
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$WorkDirectory /var/spool/rsyslog
#SNORT Data
*.* @127.0.0.1:5140;RSYSLOG_SyslogProtocol23Format
#PiHole Data
input(type="imfile"
File="/var/log/pihole.log"
StateFile="/var/run/pihole.log.state"
Tag="pihole"
Severity="info"
Facility="local7")