Haciendo los primeros pinitos con graylog para poder guardar la información syslog me he encontrado un pequeño problema: la gran cantidad de logs de debug que llegan. Al final estos logs llenan el disco así que he creado una pequeña regla para poder descartarlos.
Este es el código de la regla de la pipeline asociada a todos los eventos que entran
rule "Drop Syslog Messages"
when
has_field("level") AND
( to_string($message.level) == "7" OR
lowercase(to_string($message.level)) == "debug" OR
to_string($message.level) == "6" )
then
drop_message();
end
Es extremadamente sencilla, si nos llega debug o levl 6 o 7… fuera.
Con esto los eventos quedan reducidos a la mitad y realmente en mi caso no me interesan esos logs.