我已经运行了集中式系统日志服务器(CentOS6 上的 rsyslog,运行良好)。下一步是添加 Splunk 作为系统日志分析工具。一切都安装完美 - Splunk 运行正常,可以登录到前端并添加数据源(TCP 端口 514),但从那里我看不到 Splunk 索引的任何数据。
rysylog 的数据存储和处理配置如下:
$ModLoad ommysql
$ModLoad ommysql
*.* :ommysql:127.0.0.1,rsysdb,rsyslog,password
*.* @@localhost
有任何线索说明为什么 Splunk 没有接收到任何数据吗?
谢谢
答案1
好吧,问题已经解决了,使用本地 IP 而不是域名“localhost”,因此将系统日志转发到 Splunk(TCP 连接)的行看起来像
*.* @@127.0.0.1
和 rsyslog 位于同一台服务器上。Splunk 设置为监听与 syslog 一样设置的 TCP 端口 514 数据。