Есть ли способ связать пересылку системного журнала? Например, как клиентский хост может пересылать свои системные журналы на ServerA, а ServerA пересылать все на CentralSyslogServer?
Я использую rsyslog.
Причина в том, что Сервер A - это машина с двойным подключением, которая получает журналы с других хостов, которые все должны храниться в CentralSyslogServer. В настоящее время CentralSyslogServer, похоже, получает только локальные журналы ServerA, но ничего не пересылается на ServerA с клиентского хоста.
Решено:
Мне пришлось отредактировать / etc / sysconfig / syslog и добавить -h в SYSLOGD_OPTIONS
Моя ошибка - serverA использует syslogd
Думаю, вам понадобится это руководство: http://www.rsyslog.com/storing-and-forwarding-remote-messages/
Да, ты можешь:
В rsyslog.conf clienthost:
*.* @@ServerA:514
В файле rsyslog.conf ServerA:
*.* @@CentralSyslogServer:514
Конечно, это действительно базовое использование. Прочтите руководство или онлайн-инструкции для более продвинутого использования. ВотВот небольшое руководство по надежной пересылке с помощью rsyslog.
Чтобы сообщить вашим серверам о получении журналов:
$ModLoad imtcp
$InputTCPServerRun 514
Это зависит от объема системных журналов, которые вы получаете, но что-то вроде бесплатной версии Splunk просто отлично справляется с подобными вещами, не уверен на 100%, что это соответствует вашим требованиям, но подумал, что все равно дам вам знать.