我有一种情况,我想在同一台机器上的两个不同端口(两个不同的服务)上接收 UDP 流量,并希望避免重复发送数据。
所以,这就是想法:
(rsyslog 客户端)----(网络)--->(10540 rsyslog 和 11540 logstash)
rsyslog 和 logstash 在同一台机器上。
我需要在这两个服务之前提供一些可以为它们提供相同数据的服务。理想情况下,这将与上述服务位于同一台机器上。可以将所有数据发送到多个目的地或某种端口镜像机制的 L4 平衡器之类的东西。或任何其他可以达到目的的东西。
这样做的原因是我正在收集 linux 审计日志,并希望将其中一些保存到 Graylog(使用 logstash)和其他文件系统。我尝试使用 logstash 来做到这一点,但它与存储在磁盘上的日志格式混淆,并且它们对于 aureport、ausearch 和 ausummary 工具不可读。
还没有找到一种方法来修复格式 whitin logstash 以便这些工具可以读取。
我正在使用 CentOS7。我无权访问网络设备。
感谢您的建议。
使用 rsyslog,您可以使用omfwd 模块将日志发送到 logstash。将类似这样的内容添加到您的 rsyslog 服务器(不是客户端):