2 votes

ethrbunny avatar

rsyslog - séparer les journaux locaux et distants

Demandé el 21 de Février, 2019
Quand la question a-t-elle été
979 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je veux utiliser rsyslog pour capturer les événements provenant des SAN, des routeurs et autres. (Cela sera transmis à kafka et finalement à elasticsearch) Jusqu'à présent - cela fonctionne bien. J'ai configuré ceci dans un fichier de configuration dans /etc/rsyslog.d

Ce qui ne fonctionne pas, c'est que tout le trafic des journaux locaux (de l'hôte exécutant rsyslog) est également transféré. J'ai besoin d'un moyen d'envoyer les journaux locaux vers des points de terminaison locaux "standard" et les journaux distants vers kafka.

Est-ce possible en utilisant rsyslog ?

Demandé el 21 de Février, 2019 par ethrbunny

Réponse

Trop de publicités?

1voto

ethrbunny avatar
ethrbunny Points 2257

Voici un début de ce qui semble fonctionner :

module(load="imuxsock")  # will listen to your local syslog
module(load="omkafka")   # lets you send to Kafka

template(name="json_lines" type="list" option.json="on") {
  constant(value="{")
  constant(value="\"timestamp\":\"")
  property(name="timereported" dateFormat="rfc3339")
  constant(value="\",\"message\":\"")
  property(name="msg")
  constant(value="\",\"host\":\"")
  property(name="hostname")
  constant(value="\",\"severity\":\"")
  property(name="syslogseverity-text")
  constant(value="\",\"facility\":\"")
  property(name="syslogfacility-text")
  constant(value="\",\"syslog-tag\":\"")
  property(name="syslogtag")
  constant(value="\"}")
}

main_queue(
  queue.workerthreads="1"      # threads to work on the queue
  queue.dequeueBatchSize="100" # max number of messages to process at once
  queue.size="10000"           # max queue size
)

if $hostname != $$myhostname then {
    action(
      broker=["kafka.server:9092"]
      type="omkafka"
      topic="syslog.inbound"
      template="json_lines"
    )

    stop
}

Il a certainement besoin d'être peaufiné, mais il semble séparer les messages syslog externes et internes.

Répondu el 24 de Février, 2019 par ethrbunny (2257 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X