我正在设置 graylog2(非常棒)作为我的虚拟化环境的系统日志服务器。我的所有主机和交换机都很高兴地将日志记录到 graylog2,它正在绘制一些漂亮的图表。到目前为止,一切顺利。
但是,在从我的 vSphere 5.0 主机转发日志时,我遇到了一些问题。我将全局 syslog 设置配置为拥有远程主机,udp://loghost:514然后转到 graylog 控制台查看收到的消息。出于某种原因,graylog2 在“主机”列中记录日志严重性:
屏幕截图显示一些localhost日志条目是正确的,而上面的一些 vSphere 主机条目显然不正确。所有 vsphere 条目都以 facility 形式出现local4,严重性为Informational。
我唯一一次遇到这个问题是在我的 Cisco 3750 交换机上,我必须明确将 syslog 转发格式设置为syslog,否则我会在“主机”列中看到各种奇怪的条目。
这是 vSphere 的问题,还是 graylog2 中的错误?我还没碰到过有这个问题的人,所以不知道从哪里开始找。
答案1
可能是 VSphere 不符合 Graylog2 期望的 syslog 格式 - 通常在这种情况下,我会在 Graylog2 服务器上设置一个 logstash 实例来接收传入的日志流,并使用 grok 过滤器将日志混合成 Graylog2 将以与接收其他 syslog 条目相同的方式接受的格式。
您可以将 Logstash 配置为监听(例如)端口 1514,并有一个发送到 Graylog2 的输出插件 -http://logstash.net/docs/1.4.2/outputs/gelf...这还允许您检查正在接收的日志,以查看它们是否与正在接收的其他系统日志条目具有相同的格式。