Назад | Перейти на главную страницу

Связанная пересылка системного журнала

Есть ли способ связать пересылку системного журнала? Например, как клиентский хост может пересылать свои системные журналы на ServerA, а ServerA пересылать все на CentralSyslogServer?

Я использую rsyslog.

Причина в том, что Сервер A - это машина с двойным подключением, которая получает журналы с других хостов, которые все должны храниться в CentralSyslogServer. В настоящее время CentralSyslogServer, похоже, получает только локальные журналы ServerA, но ничего не пересылается на ServerA с клиентского хоста.

Решено:

Мне пришлось отредактировать / etc / sysconfig / syslog и добавить -h в SYSLOGD_OPTIONS

Моя ошибка - serverA использует syslogd

Думаю, вам понадобится это руководство: http://www.rsyslog.com/storing-and-forwarding-remote-messages/

Да, ты можешь:

В rsyslog.conf clienthost:

*.* @@ServerA:514

В файле rsyslog.conf ServerA:

*.* @@CentralSyslogServer:514

Конечно, это действительно базовое использование. Прочтите руководство или онлайн-инструкции для более продвинутого использования. ВотВот небольшое руководство по надежной пересылке с помощью rsyslog.

Чтобы сообщить вашим серверам о получении журналов:

$ModLoad imtcp
$InputTCPServerRun 514

Это зависит от объема системных журналов, которые вы получаете, но что-то вроде бесплатной версии Splunk просто отлично справляется с подобными вещами, не уверен на 100%, что это соответствует вашим требованиям, но подумал, что все равно дам вам знать.