如何从我的kern.log中重定向Google Chrome日志

我有数百个这些日志条目：

Feb 13 16:46:56 XXXX kernel: [42982.178922] type=1701 audit(1360799216.852:1514): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=5529 comm="chrome" reason="seccomp" sig=0 syscall=2 compat=0 ip=0x7f3060b476b0 code=0x50000
Feb 13 16:46:56 XXXX kernel: [42982.178943] type=1701 audit(1360799216.852:1515): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=5529 comm="chrome" reason="seccomp" sig=0 syscall=2 compat=0 ip=0x7f3060b476b0 code=0x50000

此行为的解释如下：为什么syslog中有与Google Chrome相关的“ seccomp”事件？。

如何将它们重定向到kern.log文件之外？

我计划稍后再kern.log查找此日志，但是我还有其他项目，使用较小的文件会更容易。

我已经看到了：如何在Ubuntu 12.04中启用Google Chrome的日志记录？

提到的文件不在我的主文件夹下。

默认安装。编辑：基本插件。单个配置文件。检查菜单项和唯一选项%U（否--debug或类似的选项）

关于：

Google Chrome   24.0.1312.69 (Official Build 180721)
OS  Linux 
WebKit  537.17 (@140072)
JavaScript  V8 3.14.5.6
Flash   11.5.31.139
User Agent  Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.17 (KHTML, like Gecko)
Chrome/24.0.1312.69 Safari/537.17

您需要调整rsyslog配置，以不同方式处理这些消息。因此，例如，您可以创建/etc/rsyslog.d/30-seccomp.conf：

if $msg contains 'comm="chrome" reason="seccomp"' then /var/log/chrome.log
& ~

其次是：

initctl restart syslog

该规则说明消息中是否包含字符串，然后将其转发到/var/log/chrome.log。第二行表示与第一行匹配的所有内容都应删除。

如果您只想删除所有这些消息：

if $msg contains 'comm="chrome" reason="seccomp"' then ~

如果使用的是Chrome的开源版本（如在Ubuntu上安装了的版本sudo apt-get install chromium-browser），则重定向seccomp日志记录需要使用略有不同的rsyslogd过滤器。

供参考，Chromium syslog消息如下所示：

Feb 23 17:33:16 XXX kernel: [507549.071917] type=1701 audit(1393194796.933:3999): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=21016 comm="chromium-browse" reason="seccomp" sig=0 syscall=2 compat=0 ip=0x7f2b40940eb0 code=0x50001

在stsquad的答案的基础上，以下是/etc/rsyslog.d/30-seccomp.conf可以与Google Chrome和开源Chromium一起使用的通用方法：

if $msg contains ' reason="seccomp"' and $msg contains ' comm="chrom' \
  then -/var/log/chrome-seccomp.log
& ~

如何编写grep hack脚本？

grep -Ev 'chrome' /var/log/kern.log >> /var/log/smaller.kern.log