问题标签 [syslog-ng]

我正在运行一个 USB 内核模块，它通过 printk() 打印消息。我正在使用 syslog-ng(3.4.5) ，基于此链接中显示的方法---> http://www.stackoverflow.com/questions/12500273/is-is-possible-to-pipe-kernel-从特定进程到文件的消息 iam 根据标签过滤掉消息并将它们发送到基于 emlog 0.52 的字符设备文件 (/tmp/hello)。同时，我对设备文件进行了简单的读取（已发布 cat /tmp/hello）。问题是我无法将任何消息输入 /tmp/hello ，是否可以将消息从 syslog-ng 重定向到字符设备文件？或者有什么简单的方法可以做到这一点？

我可以使用命令行“klogd”获取消息，但我无法过滤掉标记的消息。

我对 Solr 很陌生，需要一些帮助。目前，我正在使用 Flume-ng 和 Syslog-ng 将我的所有日​​志推送到 Solr 索引。我也想索引日期，但由于时间格式不同，我不断收到异常。

Syslog-ng 根据这种格式生成 ISO 日期/时间：2013-12-24T10:36:24.0000+8:00或者一般来说YYYY-MM-DDTHH:MM:SS:ffffTZD，但 Solr 只接受 Zulu time YYYY-MM-DDTHH:MM:SSZ。

1. 我有什么方法可以创建自定义 Solr 日期解析器，以便我可以正确解析日期/时间。谷歌没有给我如何解决这个问题的结果。

2. 或者 syslog-ng 有什么方法可以生成 Solr 接受的格式的日期/时间？

目前，作为一种解决方法，我必须将服务器设置为 UTC 并使用模板手动生成日期/时间。但是，我不希望将所有服务器都设置为 UTC，因为它可以位于不同的时区，我希望保持这种状态。

即使机器失去连接或服务器失去连接，是否有一个系统日志服务器可以同步来自远程机器的日志？

服务器失去连接的可能性较小，但如果远程机器在非常不稳定的 3g 或 wifi 连接上工作，那么它们可能会不时失去连接。

是否有任何 syslog 服务器将检查是否所有日志消息都已丢失并在建立连接后同步？

我需要使用 Redis 作为 Logstash 读取的消息键值存储。这个想法是使用现有的 Syslog-ng 服务器将所有服务器的 syslog 路由到 Redis 服务器，以便 Logstash 能够从中读取。我已经设置了我的 Redis 服务器，并且能够使用以下命令从 Syslog-ng 服务器连接和写入 Redis：

所以端口是打开的，可以写入，但是没有发送键值存储。我已经让这个系统的大部分工作使用 UDP 以及附加到 /var/log/hosts 下的各个主机。我对现有 syslog-ng.conf 文件所做的更改如下：

我没有包含 f_messages 过滤器内容，因为它已经工作并且用于将日志发送到 UDP 和 /var/log/hosts。如果有人希望我提取过滤器功能，我也可以发布它们。filter(f_messages) 最终将结果处理为类似于以下内容的内容

有谁知道为什么我的 Syslog-ng 的 Redis 模板、目的地和日志发送程序不起作用？

提前致谢！油菜

当我在不添加替换的情况下编写日志时，我可以写得很好，但是由于我是在中央日志服务器上构建的，因此我需要将源日志中的主机名添加到正在处理的现有消息中。我打算让替代品达到这种效果。

和

其中 $HOST 是主机名的通用宏。

当我运行替换时，以下内容会删除我的整行。有谁知道我的正则表达式做错了什么？文档说我需要在单引号中使用 [ 来使这个特殊字符成为文字。

在此先感谢，科尔

Syslog-ng 似乎只允许最多 8192 字节的 log_msg_size，之后它将日志消息拆分为多个日志消息。在全局选项或源选项中设置它以使用超过 8192 似乎不起作用。我想知道是否需要设置其他选项以不拆分很长的日志。我意识到这可能是需要长日志消息的非常罕见的情况，但是应用程序日志记录设计得很差，我们目前在修复日志记录时需要此功能。

在查看源代码时，似乎 log_msg_size 存储为 gint 类型，我记得最多可以存储 +32787 对吗？

如果我可以放置的最大值是 8192，那么我想我将不得不想出其他东西来处理拆分日志，否则将不胜感激。

我有一个将日志输出到端口 10150 的集中式 Syslog-ng 服务器，当我在该端口上执行 UDP 转储时，我能够看到正在写入该端口和 IP 的日志。在包含 1.3+ 版本的 Logstash 守护程序的另一台服务器上。我正在尝试使用针对该 Syslog-ng 服务器的输入从 UDP 读取数据，但出现此错误：

对于我的 Logstash 守护程序服务器，我使用以下输入：

我在那个特定端口上打开了它们之间的防火墙。有谁知道为什么 Logstash 1.3+ 无法从该服务器的 UDP 端口读取？在此先感谢，科尔

我在我的本地主机（Linux 操作系统）中配置了一个系统日志服务器，它使用 UDP 514 端口。

我有不同的主机试图访问同一个端口，但服务器一次只允许一个客户端访问该端口。

是否有任何机会或方法可以同时从不同的客户端访问同一个端口？

我正在尝试使用 syslog-ng 将我的日志转发到我的中央 syslog 服务器。但它不起作用。

这是我在 syslog-ng.conf 中添加的行

但是当我重新启动时，我收到以下错误。

第 79 行是定义 source s_access 的行。

可能是什么问题？

有人请帮我解决这个问题:(下面一行是问题。source s_access { file("/var/log/httpd/access_log" follow_freq(10) flags(no-parse, validate-utf8)); };

但我不知道哪里出了问题。

我有 apache、tomcat 和一些自定义应用程序，我需要将这些日志发送到远程中央系统日志服务器。

我想将我的 apache 和 tomcat 日志转发到我的中央日志服务器。（splunk/graylog）

我有运行 syslog-ng 的客户端系统。

如何转发日志？

是否需要解析日志？我不能按原样转发日志吗？我还必须编辑apache配置吗？

我试图在上周完成它。我对此提出了另一个问题。但没有发现肝病。 通过 syslog-ng 转发日志 任何人请看这个。

update1：​​这是我最新的 syslog-ng.conf