我想把apache和tomcat日志转发到我的中央日志服务器(splunk/graylog)
我的客户端系统正在运行syslog-ng。
如何转发日志?
是否需要解析日志?我不能原样转发日志吗?我也必须编辑apache配置吗?
上个星期我一直想把它做完。关于这一点,我又提出了一个问题。但是没有找到帮手。通过syslog- log转发日志谁来看看这个
update1:这是我最新的syslog-ng.conf
source s_all {
internal();
unix-stream("/dev/log");
file("/proc/kmsg" program_override("kernel: "));
file("/var/log/apache/access.log" follow_freq(1) flags(no-parse));
file("/var/log/apache/error.log" follow_freq(1) flags(no-parse));
};
destination d_splunk {
udp("ec2-xxx.xxx.xxx.xxx.compute-1.amazonaws.com" port(514));
};
log {
source(s_all); destination(d_splunk);
};
在您的中央日志服务器上安装通用转发器(我假设这是与您的Splunk实例不同的盒子)。然后监视syslog日志的路径。我不太了解syslog-ng,但是应该写日志,以便在路径中包含主机名,例如/var/log/my_host_one/apache/access.log。这样Splunk将使用正确的主机名(参见inputs.conf中的host_segment)。
也要测试以确保您的UF正确连接到您的主Splunk实例(通过outputs.conf配置),尝试搜索UF的内部日志index=_internal host=your_uf_host。
嘿,我建议你检查ansible (https://docs.ansible.com/)。而不是一直手工操作。
- name: Configure syslog forwarding
copy:
content: |
*.* @localhost:514;RSYSLOG_SyslogProtocol23Format
dest: /etc/rsyslog.d/30-graylog.conf
mode: 0644
owner: root
group: root
notify:
- restart collector
- restart rsyslog