我正在运行集中式系统日志服务器(CentOS6 上的 rsyslog,运行良好)。下一步是将 Splunk 添加为系统日志分析工具。一切都安装得很好——Splunk 可以工作,可以登录前端并添加数据源(TCP 端口 514),但从那里我看不到 Splunk 索引的任何数据。
用于数据存储和处理的 rysylog 配置如下所示:
$ModLoad ommysql
$ModLoad ommysql
*.* :ommysql:127.0.0.1,rsysdb,rsyslog,password
*.* @@localhost
任何线索为什么 Splunk 没有收到任何数据?
谢谢
好吧,通过使用本地 IP 而不是域“localhost”解决了问题,因此系统日志转发到 Splunk(TCP 连接)的行看起来像
*.* @@127.0.0.1与 rsyslog 位于同一台服务器上。Splunk 设置为侦听 TCP 端口 514 数据集作为 syslog。