0

我想将我的 apache 和 tomcat 日志转发到我的中央日志服务器。(splunk/graylog)

我有运行 syslog-ng 的客户端系统。

如何转发日志?

是否需要解析日志?我不能按原样转发日志吗?我还必须编辑apache配置吗?

我试图在上周完成它。我对此提出了另一个问题。但没有发现肝病。 通过 syslog-ng 转发日志 任何人请看这个。

update1:​​这是我最新的 syslog-ng.conf

source s_all {
  internal();
  unix-stream("/dev/log");
  file("/proc/kmsg" program_override("kernel: "));
  file("/var/log/apache/access.log" follow_freq(1) flags(no-parse));
  file("/var/log/apache/error.log" follow_freq(1) flags(no-parse));
};
destination d_splunk {
  udp("ec2-xxx.xxx.xxx.xxx.compute-1.amazonaws.com" port(514));
};
log {
  source(s_all); destination(d_splunk);
};
4

2 回答 2

0

将通用转发器安装到您的中央日志服务器(我假设这与您的 Splunk 实例不同)。然后监视系统日志的路径。我不太了解 syslog-ng,但应该编写日志,以便它在路径中包含主机名,例如/var/log/my_host_one/apache/access.log. 这样,Splunk 将使用正确的主机名(参见 参考资料host_segmentinputs.conf

此外,为了测试以确保您的 UF 正确连接到您的主 Splunk 实例(通过 配置outputs.conf),请尝试在 UF 的内部日志中搜索index=_internal host=your_uf_host.

于 2014-03-11T21:01:28.723 回答
0

嘿,我建议您检查 ansible ( https://docs.ansible.com/ )。而不是一直手动进行。

    - name: Configure syslog forwarding
  copy:
    content: |
      *.* @localhost:514;RSYSLOG_SyslogProtocol23Format
    dest: /etc/rsyslog.d/30-graylog.conf
    mode: 0644
    owner: root
    group: root
  notify:
    - restart collector
    - restart rsyslog

这样的事情会解决你的问题。

于 2018-09-21T13:38:38.593 回答