關於Linux中 syslog-ng 如何在轉發時修改其facility以及level

國內關於Syslog-ng的內容比較少，就是找到了也都是些許的只言片語，或者都僅僅是一些簡簡單單的配置facility或則和level以及destination等。

這兩天碰到一個問題，就是在日志轉發時，需要更改收到的日志的facility和level，結果中文文檔幾乎木有，英文的文檔倒是碰到一些，興奮之余，一打開傻眼了。。。好幾個都是問how to change the facility and level的，然後在balabit中看到回復如下:

"Simply because we're not there yet and because I didn't feel it that

important when we implemented the rewrite functionality."。。。

原來還木有實現這個功能啊，直接修改看來是行不通了，然後去下載“syslog-ng-v2.0-guide-admin-en.pdf”學習Syslog-ng的這本書可真是指明燈啊。終於找到解決方案：利用Syslog-ng中的template可以完美解決此問題

實例如下， 比如當我收到facility為local 6,level為debug的日志時，我需要將其facility改為local0, 同時 level 改為info然後存儲到本機，實現如下：

1. filter f_local6 {facility(local6);};   
2. filter f_level  {level(debug);};   
3. destination d_template1 {udp('127.0.0.1' port(514) template("<166>$DATE $HOST $MSGHDR$MSG\n"));   
4. };   
5. log { source(src);filter(f_tag_acs);filter(f_local6);destination( d_template1);};  

同時發往的目的地服務器(此處問本機127.0.0.1) 也要配置接收log，配置如下：

1. source src          {    
2.                 file("/proc/kmsg");    
3.             unix-stream("/dev/log" max-connections(256));    
4.             internal(); };   
5.   
6. source s_remote { udp(ip(0.0.0.0) port(514)); };   
7.   
8.   
9. filter f_facility{ facility (local4 ); };   
10. filter f_level{ level (info ); };   
11. filter f_tag {  match('acs')  ; };   
12. destination dest{ file('/var/log/filter1.log');};   
13. log {   
14.     source(src);   
15.     source(s_remote);   
16.     filter(f_facility;   
17.     filter(f_level);   
18.     filter(f_tag);   
19.     destination(dest);   
20.    };  

流程如下：
1. 本機收到屬性為local6.debug的日志，
2.發往d_template1 由於其應用規則為：{udp('127.0.0.1' port(514) template("<166>$DATE $HOST $MSG\n")); 故將其屬性轉換為local4.info，同時應用其他規則，
3.將應用新規則的log轉發給127.0.0.1，
4.本機的其他過濾器dest進行接收。
此過程完成也就將log的facility和level修改並存儲了。