将 rsyslog 从 Ubuntu .20.04 转发到 Splunk

将 rsyslog 从 Ubuntu .20.04 转发到 Splunk

因此,我使用 Haproxy 设置了 Ubuntu 20.04 LTS 服务器,并且尝试将日志信息转发到 Splunk Cloud。

我有带有全局条目的 Haproxy.cfg:

log 127.0.0.1 local4

我在 /etc/rsyslog.conf 中有一个远程服务器的条目:

*.* @@10.1.1.1:1603

(@@ 用于 TCP,是的,我使用的是 InfoSec 为此分配给我的非标准端口)

Haproxy 的最新版本使用以下命令创建自己的 rsyslog 配置文件 /etc/rsyslog.d/hapyoxy.log:

# Create an additional socket in haproxy's chroot in order to allow logging via
# /dev/log to chroot'ed HAProxy processes $AddUnixListenSocket /var/lib/haproxy/dev/log

# Send HAProxy messages to a dedicated logfile :programname, startswith, "haproxy" {   /var/log/haproxy.log   stop }

最后,我在 /etc/rsyslog.d/50-default.conf 中添加了一行:

local4.* /var/log/haproxy.log

所以我相信我已经把一切都设置好了,所以我运行记录器“请工作”当我执行以下命令时,我可以看到该行: tail /var/log/haproxy.log 和 tail /var/log/syslog 但远程端没有任何内容。那么我尝试:logger -n 10.1.1.1 -P 1603“请真正工作”但我在任何日志文件或远程端都没有看到该行。

所以我真的希望我只是忽略了一些简单的事情。任何帮助将不胜感激。

##编辑##

因此,使用 TCPdump 和“记录器”我能够将事件发送到 Splunk。但是 Haproxy 到 syslog 仍然不起作用。

相关内容