Question

Я использую ELK-Stack в качестве центрального syslogserver и настроил rsyslog для отправки в него файлов журналов, которые по умолчанию не входят в / var / lib / messages.

Настройка работаеточень хорошо, но поскольку я выполнил настройку, внешние файлы журналов фактически отображаются в файле сообщений, что приводит к непропорциональным изменениям и затрудняет отладку обычных системных журналов.

Я хочу, чтобы журналы отправлялись на сервер системного журнала, ноне в файл сообщений.

Это моя текущая конфигурация:

111-elk-syslog.conf:

*.* @@IP_OF_THE_SYSLOGSERVER:514

101-external-log.conf

$ModLoad imfile
$InputFileName PATH_TO_LOGFILE
$InputFileTag FILE_TAG
$InputFileStateFile FILE_TAG
$InputFileFacility local3
$InputRunFileMonitor

Я знаю, что, используя filebeat, я мог бы обойти это, но rsyslog работает очень хорошо в моей среде, и это единственное приложение, регистрирующее настолько много, что это настоящая проблема.

meuh · Answer 1 · 11 мая 2019

Я не понимаю в деталях вашу настройку, но может быть полезно знать, что в целом в rsyslogd, если вы не хотите дальнейшей обработки соответствующего сообщения, вы просто повторяете фильтр на следующей строке: используя &, а действие stop. Например, вы можете попробовать

*.* @@IP_OF_THE_SYSLOGSERVER:514
& stop

Настройте rsyslog для отправки журнала на удаленный syslogserver, но не на messages / syslog

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Настройте rsyslog для отправки журнала на удаленный syslogserver, но не на messages / syslog

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы