Einbetten der Server-IP in / var / log / messages
Wir senden unsere Syslogs von Red Hat Linux 7.2-Servern an ELK.
Wir möchten die IP in die Syslog-Nachrichten einbetten, die in / var / log / messages geschrieben werden. Verwenden Sie dann die Funktion von rsyslog, um die Protokolle über TCP / IP an einen Lastverteiler zu senden.
Der Load Balancer leitet die Protokolle an einen Logstash weiter, der an einem TCP / Up-Port überwacht wird.
Wir verwenden dazu den folgenden Code. Der Code befindet sich in einer conf-Datei im Verzeichnis /etc/rsyslog.d. zzzzzzzzz ist der Stand für meine IP-Adresse - wir können das nicht auf die Diskussionsrunde setzen.
Das Problem ist, dass zwei Zeilen in / var / log / messages geschrieben werden. Sie sind identisch, außer dass eine IP-Adresse eingebettet ist und die andere nicht. Dies unterbricht unsere Logstash-Analyse.
Übrigens ist die IP, die logstash sieht, für den Load Balancer oder Switch. Deshalb durchlaufen wir diesen Prozess. Unser Netzwerkteam kann die richtige IP-Adresse nicht weitergeben.
$ template tplremote, "% timegenerated%% HOSTNAME% zzzzzzzzz% syslogtag %% msg ::: drop-last-lf% \ n" . / var / log / messages; tplremote
. @@ monatee-loggy-rslog-tpc.dev.bnymellon.net: 514
0 Antworten auf die Frage
Verwandte Probleme
-
1
Umgang mit Netzwerk Plug / Unplug in (Debian) Linux
-
1
Warum ist syslog so viel langsamer als File IO?
-
1
So richten Sie syslogd für Netzwerkgeräte wie Router ein
-
1
Fehlende nm_dbus_manager_init_bus-Fehlermeldungen füllen das Protokoll auf
-
4
Schlechte Minute in Crontab?
-
2
Protokollnachrichtenpriorität in syslog anzeigen lassen
-
7
Wie kann ich verhindern, dass Kernel-Nachrichten meine Konsole überfluten?
-
2
dmesg / syslog spam für usb-gerät (carl9170 wifi-dongle, jedoch nicht in verbindung mit dem fahrer)
-
2
Konfigurieren Sie einen UNIX-Server, um seine Protokolle an einen Remote-Syslog-Server zu senden.
-
3
Wie lösche ich / var / log / lastlog dauerhaft?