Início / server / Perguntas / 955012
Accepted
ethrbunny
Asked: 2019-02-21 18:26:39 +0800 CST

rsyslog - logs locais e remotos separados

  • 772

Eu quero usar rsyslog para capturar eventos de SANs, roteadores e afins. (Isso será encaminhado para kafka e, finalmente, elasticsearch) Até agora - isso está funcionando bem. Eu tenho isso configurado em um arquivo de configuração em /etc/rsyslog.d

O que não está funcionando é que todo o tráfego de log local (do host executando o rsyslog) também está sendo encaminhado. Eu preciso de uma maneira de enviar logs locais para endpoints locais "padrão" e logs remotos para kafka.

Isso é possível usando rsyslog?

rsyslog

1 respostas

  1. Best Answer

    Aqui está um começo para o que parece funcionar:

    module(load="imuxsock")  # will listen to your local syslog
module(load="omkafka")   # lets you send to Kafka

template(name="json_lines" type="list" option.json="on") {
  constant(value="{")
  constant(value="\"timestamp\":\"")
  property(name="timereported" dateFormat="rfc3339")
  constant(value="\",\"message\":\"")
  property(name="msg")
  constant(value="\",\"host\":\"")
  property(name="hostname")
  constant(value="\",\"severity\":\"")
  property(name="syslogseverity-text")
  constant(value="\",\"facility\":\"")
  property(name="syslogfacility-text")
  constant(value="\",\"syslog-tag\":\"")
  property(name="syslogtag")
  constant(value="\"}")
}

main_queue(
  queue.workerthreads="1"      # threads to work on the queue
  queue.dequeueBatchSize="100" # max number of messages to process at once
  queue.size="10000"           # max queue size
)

if $hostname != $$myhostname then {
    action(
      broker=["kafka.server:9092"]
      type="omkafka"
      topic="syslog.inbound"
      template="json_lines"
    )

    stop
}

    Certamente precisa de polimento, mas parece separar mensagens syslog externas/internas.

    • 1

relate perguntas