監査ログのエラーのみをrsyslogサーバーに渡す方法は?

監査ログのエラーのみをrsyslogサーバーに渡す方法は?

rsyslogドキュメントは非常に不明です。監査ログのエラーをリモートrsyslogサーバーに渡したいと思います。例は以下を示しています。

# auditd audit.log  
$InputFileName /var/log/audit/audit.log  
$InputFileTag tag_audit_log:  
$InputFileStateFile audit_log  
$InputFileSeverity info  
$InputFileFacility local6  
$InputRunFileMonitor

「InputFileSeverity」を情報に設定すると、監査ログのすべての項目が情報(エラーを含む)として表示されることを意味しますか?または、「エラー」に設定すると、情報を含むすべての項目がエラーレベルで表示されることを意味しますか?

渡されたエラーだけを見たいです。この単純な構成を設定する方法の基本的なメカニズムは本当に欠けているようです。

答え1

rsyslogのテキストファイル入力モジュールを使用していると仮定すると、InputFileSeverityパラメータは、audit.logファイルにキャプチャされたメッセージの重大度ではなく、rsyslogに格納される重大度を定義します。ファイル入力モジュールはユーザーをフィルタリングしません。 audit.logファイルで「エラー」レベルの重大度のみをキャプチャするようにauditdを設定し、inputfileseverityをerrorに設定すると、rsyslogはエラーレベルの重大度からaudit.logのエラーをキャプチャします。

関連情報