我已尝试过 splunk 文档中提到的 syslog 转发配置,但在 syslog 服务器上,我无法获取 macOS 中生成的所有日志,并且某些日志(例如以下日志)中没有 Syslog 内容(消息),在转发为 Syslog 时,我没有获取任何有用的信息。但在控制台中,我可以查看所有日志。
https://wiki.splunk.com/Community:HowTo_Configure_Mac_OS_X_Syslog_To_Forward_Data
<6>Mar 19 10:46:05 catalinas-iMac diagnosticd[531]: New connection from peer 1663
<5>Mar 19 10:46:05 catalinas-iMac analyticsd[162]:
<5>Mar 19 10:46:05 catalinas-iMac analyticsd[162]:
<5>Mar 19 10:46:05 catalinas-iMac analyticsd[162]:
<5>Mar 19 10:46:05 catalinas-iMac analyticsd[162]:
<5>Mar 19 10:46:05 catalinas-iMac analyticsd[162]:
有人可以帮忙吗?
答案1
在谷歌搜索这个确切的问题(例如将 macOS 上的 syslog 转发到 syslog 收集器)时,我看到了几个其他引用已过期的 Splunk wiki 链接的帖子
例如:https://community.spiceworks.com/topic/1860034-forwarding-syslog-from-mac-os-x-to-syslog-server
这篇文章表明你需要看看/etc/asl.conf,因为在较新版本的 macOS 中,日志记录已经发生了变化 -https://www.unixtutorial.org/syslog-and-asl-in-macos
还有这个与 Graylog 老化相关的问题询问不同询问如何收集 macOS 日志
Apple 的 asl 手册页位于此处:https://developer.apple.com/library/archive/documentation/System/Conceptual/ManPages_iPhoneOS/man3/asl.3.html
现在,它出现统一记录器已经取代了 ASL:https://community.splunk.com/t5/Archive/Mac-OS-X-Sierra-How-to-get-all-logs-from-the-Unified-Log/mp/347695
基于所有这些,似乎当前的将 macOS 系统日志传输到某个集中源(无论是“传统”系统日志收集器、Splunk 等)的“最佳”方式是使用脚本流程,该流程运行过去 X 个时间段内(可能是自上次运行以来)在本地收集的内容,并将其发送到您希望它去往的任何地方