rsyslog с asticsearch и пересылка пользовательских журналов

Question

rsyslog с asticsearch и пересылка пользовательских журналов

Я настроил сервер журналов rsyslogd с Elasticsearch и Kibana. Я могу пересылать / var / log / messages с клиентских серверов Linux (CentOS 7, RHEL 6) на центральный сервер Linux Log (CentOS 7).

Тем не менее, у меня есть собственный файл журнала (например:/ var / log / usercommands) на всех клиентских серверах, который необходимо пересылать на центральный сервер журналов. Этот файл журнала записывает все команды, выполняемые всеми пользователями на соответствующем клиентском сервере через командную строку. Я добавил ниже правило для пересылки журналов от клиентов на сервер. Но в соответствии с приведенным ниже правилом мой пользовательский файл журнала (/ var / log / usercommands) не пересылается на центральный сервер журналов.

 *.* @@remotehost:514

Любая помощь по поводу того, какую конфигурацию необходимо добавить в rsyslogd.conf клиентов, чтобы перенаправить этот пользовательский файл журнала также на центральный сервер журнала?

-1

log-files rsyslog elasticsearch logserver

Источник

Arun Krishnan 13 авг '17 в 07:03

2 ответа

Другие вопросы по тегам log-files rsyslog elasticsearch logserver

Yu Watanabe 04 окт '17 в 09:00 2017-10-04 09:00 · Answer 1 · 2017-10-04 09:00

Учитывая тот факт, что у вас смешанные платформы, которые регистрируют в другом формате, я бы предложил filebeat + logstash.

Установите filebeat на каждом сервере и управляйте журналом с помощью logstash.

Вывод файла позволит вам создать каталог так, как вам нужно.

roothahn 13 авг '17 в 19:55 2017-08-13 19:55 · Answer 2 · 2017-08-13 19:55

Посмотрите на бегло. Установите его на сервере, пусть он слушает публику. Он принимает сообщения системного журнала по умолчанию. (@type syslog) В fluentd вы можете лучше фильтровать, чем сам rsyslog. Ваши клиенты уже настроены на отправку всех (.) На сервер. Теперь fluentd - агрегатор, перенаправляющий все ваши потоки на ваш выбор. Я предпочитаю graylog2.