sarvesh.lad's questions

我们有一些发送系统日志的设备，不幸的是它们的主机名与服务上配置的实际名称不同

我正在运行最新的 rsyslog 版本。

目前我已将其保存为单独的 conf 文件：

template (name="stats" type="string" string="/logs/stats/host-%rawmsg:R,ERE,1,DFLT:gw_name="([^"]*)--end%-%$year%-%$month%-%$day%.log")

local4.*                action(type="omfile" dynaFile="stats")

这些不会生成日志文件。

示例原始消息

Mar 31 17:33:02 localhost root: log_type="stats", local_time="2021/03/31 17:33 BST", mx_ip="10.191.205.240",gw_name="Appliance_NAME", gw_ip="1.0.0.41", version="1.5.0.", model="1000", serial_no="1xxxxxx8", ssl_card="Yes", total_traffic="0", app_traffic="0", cpu="0"

这应该将日志文件保存为 host-Appliance_NAME-2021-03-31

我们有一个过时的 rsyslog 版本 5.4，我们需要迁移到最新版本，因此出现这种情况。

当我有默认设置时，我的日志是这样的：

2020-12-01T18:34:06+02:00 10.132.90.194 {"wfd_successful_hits_sec": "0", "sql_hits_sec_max": "0", "timestamp": "2020/12/01 18:34:01", "connection_sec_max": "1922", "http_hits_sec_max": "1106", "http_hits_sec": "106", "wfd_successful_hits_sec_max": "0", "sql_hits_sec": "0", "sql_audit_phase2_events_sec_max": "0", "hdfs_hits_sec": "0", "connection_sec": "26"}

但是一旦我尝试让它只写味精，它就会失败。

并给我剪掉开头的味精。

"0", "timestamp": "2020/12/01 18:34:01", "connection_sec_max": "1922", "http_hits_sec_max": "1106", "http_hits_sec": "106", "wfd_successful_hits_sec_max": "0", "sql_hits_sec": "0", "sql_audit_phase2_events_sec_max": "0", "hdfs_hits_sec": "0", "connection_sec": "26"}

我的 Rsyslog 配置：

$template OnlyMsg,"%msg:2:2048%\n"
$template CustomLog,"/logs/host-%fromhost%-%$year%-%$month%.log"

local5.*                                               ?CustomLog;OnlyMsg

如何通过拖尾包含 JSON 数据的文件将 json 数据提取到 influx 中？

例如：

我的日志是这样的：

2020-12-01T18:34:06+02:00 10.132.90.194 {"wfd_successful_hits_sec": "0", "sql_hits_sec_max": "0", "timestamp": "2020/12/01 18:34:01", "connection_sec_max": "1922", "http_hits_sec_max": "1106", "http_hits_sec": "106", "wfd_successful_hits_sec_max": "0", "sql_hits_sec": "0", "sql_audit_phase2_events_sec_max": "0", "hdfs_hits_sec": "0", "connection_sec": "26"}

有没有办法只提取 JSON 部分并将其发送给 influx？

我知道 grok 模式(\{.*\})$会提取 JSON 部分。

我的配置如下所示：

[global_tags]
[agent]
  interval = "10s"
  round_interval = true
  metric_batch_size = 1000
  metric_buffer_limit = 10000
  collection_jitter = "0s"
  flush_interval = "10s"
  flush_jitter = "0s"
  precision = ""
  hostname = ""
  omit_hostname = false
[[inputs.tail]]
  files = ["/opt/share/host*log"]
  data_format = "json"
[[outputs.influxdb_v2]]
  urls = ["http://localhost:8086"]
  token = "TOKEN"
  organization = "ORG"
  bucket = "performance_stats

如何在传入数据包到达正在运行的服务之前更改其源 IP

我有两个设备，一个管理器和一个服务器，通过 VPN 连接并且它们之间有 NAT。

管理器接口 IP：A 服务器接口 IP：B

管理器使用 NAT IP Y 连接到服务器，当管理器连接时服务器看到 IP X

当数据包以源 IP X 到达时，如何在服务器上设置 iptables 以将其更改为 IP。

我知道这在设计良好的网络和产品中应该不是问题，但我们暂时需要一个解决方法，直到它在软件方面得到修复。

到目前为止，以下 iptables 规则没有帮助：

iptables -t nat -A POSTROUTING -s <X> -o eth0 -j SNAT --to <A>

任何帮助表示赞赏。