我想使用 rsyslog 发送到 Splunkstorm。我想将 Apache Access & Apache Errors 发送到同一个项目。根据这个答案,我可以创建两个单独的项目(对我来说这似乎浪费了最多允许的 3 个)或者我可以为我的事件添加一个标记。所以
- 标记可以是任何值/对,例如
tag=\"access\"和tag=\"error\"(我正在使用 rsyslog $template 行语法)? - 我使用哪种源类型?系统日志 或通用单行数据
- 这两个 rsyslog 配置看起来可以接受吗?access_log 是ncsa 组合,而 error_log 是 Apache 2.2 标准。
$template access,"<%pri%>%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msgid% tag=\"access\"] %msg%"
$template error,"<%pri%>%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msgid% tag=\"error\"] %msg%"