问题标签 [syslog-ng]

最近，我们最资深的工程师之一问我关于使用 syslog-ng 与将日志从我们的应用程序写入磁盘的上下文切换。

上下文：我想使用 syslog-ng 将我们用 C++ 编写的应用程序的输出记录并发送到远程日志服务器主机上的 logstash，然后将其全部推送到 elasticsearch 并使用 Kibana 作为日志查看、分析和派生的前端有用的指标。ELK 堆栈

我们目前使用 4K 或 8K 的 FSYNC 缓冲区，它会定期将日志输出到磁盘上的日志文件；也就是说，我们不会为每个日志条目强制写入磁盘。

像任何优秀的追求性能的工程师一样，他想了解我们是否会看到更大的上下文切换，或者我们是否可以通过利用 syslog-ng 来获得任何性能提升。

所以问题是：使用 syslog-ng 会减少还是增加该应用程序主机上的上下文切换。

我的专业知识让我在这里提出这个问题——因为我没有足够的知识来自己想出答案。

长期潜伏者，仍然是新发帖者。谢谢！

我想将 nginx 访问日志发送到远程 syslog-ng 服务器。我在每一端（服务器客户端）安装了 syslog-ng。客户端：10.10.10.2 服务器：10.10.10.1 一些日志文件（messages、syslog、mail.log）已成功从客户端发送到服务器，但未发送 nginx 日志。服务器配置：

客户端配置：

我现在不知道是什么问题。提前致谢。

我正在运行 syslog-ng 并将日志条目存储在 mysql 中。那里一切正常。问题是我需要将“msg”字段分解为列以进行进一步分析。如何转换此字符串：

一切都在一行上（存储在 mysql 表中的“文本”字段中），我只是添加了可见性的中断......我需要将其转换为类似的内容：

任何其他可能更容易的插入格式也将受到赞赏。我希望在 mysql 中执行此操作，以便可以在表上使用触发器来插入。

谢谢，

我需要检查日志是否通过 syslog-ng 成功发送到外部服务器。我正在使用 UDP 连接。

我如何检查是否发生任何错误？

提前致谢。

我正在尝试编译 syslog-ng 3.6.1。在以下系统配置上。./configure 一切正常。但是make给了我以下错误，请帮忙！

操作系统级 -s 7100-02-03-1334

aclocal --version aclocal (GNU automake) 1.14.1

野牛——版本野牛（GNU Bison）3.0

gcc --version gcc (GCC) 4.8.3

m4 --版本 m4 (GNU M4) 1.4.17

CC librabbitmq/librabbitmq_librabbitmq_la-amqp_api.lo

在 ./librabbitmq/unix/socket.h:38:0、librabbitmq/amqp_private.h:84、librabbitmq/amqp_api.c:37 包含的文件中：

librabbitmq/amqp_private.h:229:42: 错误: 'val' 之前的预期')' static inline uint64_t func##ll(uint64_t val) \ ^

librabbitmq/amqp_private.h:244:1：注意：在宏 'DECLARE_XTOXLL' DECLARE_XTOXLL(hton) 的扩展中 ^

librabbitmq/amqp_private.h:229:42: 错误: 'val' 之前的预期')' static inline uint64_t func##ll(uint64_t val) \ ^

librabbitmq/amqp_private.h:245:1：注意：在宏“DECLARE_XTOXLL”扩展中 DECLARE_XTOXLL(ntoh) ^ Makefile:1441：目标“librabbitmq/librabbitmq_librabbitmq_la-amqp_api.lo”的配方失败

make[2]: *** [librabbitmq/librabbitmq_librabbitmq_la-amqp_api.lo] 错误 1

make[2]: 离开目录'/home/tufail/workspace/syslog/syslog-ng-3.6.1/modules/afamqp/rabbitmq-c'

Makefile：959：目标“all”的配方失败 make[1]：*** [all] 错误 2 make[1]：离开目录 '/home/tufail/workspace/syslog/syslog-ng-3.6.1/modules /afamqp/rabbitmq-c'

Makefile：11222：目标“模块/afamqp/rabbitmq-c/librabbitmq/librabbitmq.la”的配方失败

制作：*** [modules/afamqp/rabbitmq-c/librabbitmq/librabbitmq.la] 错误 2

我正在尝试转发realtime_01-08-15.log使用192.168.1.132syslog-ng。我想我知道如何从文件转发流量，但是如果文件每天更改名称怎么办？

2015 年 1 月 8 日来源： realtime_01-08-15.log

2015 年 1 月 9 日来源： realtime_01-09-15.log

我是否必须将源设为文件夹并将日志文件放入其中，或者是否有可变源输入的方法？任何帮助将不胜感激，如果需要，可以提供额外的信息。

我们正在使用syslog-ng通过 将访问日志文件发送到远程服务器tcp。而且我已经知道可以配置多个目的地来完成这项工作，就像：

我要弄清楚的是如何将我的内容轮询到这两个目的地（例如循环）。换句话说，我的内容要么发送到d_one要么d_two，而不是两者。

非常感谢。

我想通过snmpd logs登录syslog-ng。syslog-ng.conf我在文件中添加了以下行

但上面的代码只捕获标准输出日志，如下所示：

2 月 4 日 17:21:31 snmpd[1612]：snmpd：send_trap：sendto 失败（网络无法访问）

但我想要更多的日志snmpd。请告诉我如何收集snmpd daemonthrough的所有日志syslog-ng？

谢谢

我正在使用 rsyslog 将事件从机器中继到 Loggly（云日志管理）。我在那台机器上运行了一个应用程序，它使用 log4net 的 SyslogAppender 记录到本地 rsyslog。但是，由于某些事件是多行的，因此包含新行，然后由转义序列替换#012。但是，我想将消息部分中的换行符替换为<br/>. 我已经查看了 rsyslogs 属性替换 [1] 功能，但我不确定这是否是正确的方法。此外，更改应用程序的实现需要一些努力，所以我想避免这种方式。所以我正在寻找一种在我的应用程序“外部”解决这个问题的方法。

提前感谢您的任何帮助或建议！

[1] http://www.rsyslog.com/doc/property_replacer.html

我一直在尝试使用 syslog-ng 将日志从防火墙转发到 SIEM，但问题是我只想转发原始原始日志，而没有 syslog-ng 添加的附加标头。我有以下 syslog-ng conf 文件。

有了以上内容，我已经设法删除了大部分 syslog-ng 的标头，但我无法删除以下粗体字

Syslog-ng 的文档指出：

（这$MSGHDR$MSG部分是一起写的，因为$MSGHDR宏包含一个尾随空格。）

如果在我的 conf 中我将模板从更改为$MSG我在SIEM$MSGHDR中收到的唯一内容如下：

但是，如果我再次使用$MSGor$MSGONLY或$MESSAGE再次我得到：

我只希望 syslog-ng 转发的是：

我已经用尽了选项，例如：

以上都没有任何区别。

我在另一个论坛中读到，可以使用重写和设置将锁定（不可更改）变量的值放入其他变量中，然后使用 PCRE 等编辑新变量的值，以仅包含所需的数据但我不完全确定如何做到这一点。

有人可以帮帮忙吗？