0

我对 syslog fifo 和日志文件有一些疑问。

例如,我有我的 gc.log,我在 syslog 上有这个配置

source s_splunk {
    udp(ip("127.0.0.1") port(514));
    file("/logs/gc.log" follow_freq(1));
};

destination d_splunk {
    tcp (my.splunk.intranet port (1514));
};

log {
    source (s_splunk);
    destination (d_splunk);
};

在 splunk 上索引这个 gc.log。但是这样我得到了很高的 cpu 消耗,我喜欢改变我索引这个日志文件的方式。

我想通过 fifo 文件进行索引,但我无法更改应用程序生成此日志文件的方式。

我怎样才能做到这一点 ?

4

1 回答 1

0

我找到了一些方法来解决我的问题。我删除了我的 gc.log 文件并像 fifo 文件一样构建这个文件,我更改了这个文件的权限。

因此,JVM 使用 de fifo 进行日志记录,并在 syslog-ng 上配置一个目的地以将日志写入文件并发送到我的 splunk vip (my.splunk.intranet)。

使用此解决方案,我的系统日志没有高 CPU 使用率。

于 2013-03-13T14:53:12.837 回答