rsyslog - cum să etichetezi și să aplici un set de reguli după conținutul liniilor?

Curăț și standardizez manipularea buștenilor, adăugând fluentd și ELK. Această parte funcționează bine, deoarece nginx se conectează la propriul fișier:

input(type="imfile" tag="app.nginx" file="/var/log/nginx/access.log" ruleset="fluentd")

Cu toate acestea, alte componente ale aplicației, de ex. procesul python, se conectează la /var/log/syslog cu mesaje de jurnal care sunt prefixate cu [balon]. As dori sa filtrez /var/log/syslog mesaje care conțin [balon], etichetează-le cu app.balon, și aplicați fluentd set de reguli.

Aș putea configura fiecare serviciu să se conecteze la propriul fișier, cum ar fi nginx, dar aș dori să evit să modific configurația systemd dacă este posibil.

Am ajuns să rezolv această problemă redirecționând mesajele către un anumit fișier jurnal și apoi adăugând un intrare arătă spre ea.

dacă $rawmsg conține „[flask]”, atunci /var/log/flask.log

input(type="imfile" tag="app.flask" file="/var/log/flask.log" ruleset="fluentd")

Dacă există o modalitate de a face acest lucru fără redirecționare către un alt fișier, aș dori totuși să știu.