У меня запущен централизованный сервер системного журнала (rsyslog на CentOS6, который отлично работает). Следующим шагом было добавление Splunk в качестве инструмента анализа системного журнала. Все было установлено идеально - Splunk работает, может войти в интерфейс и добавить источник данных (TCP-порт 514), но оттуда я не вижу никаких данных, проиндексированных Splunk.
Конфигурация rysylog для хранения и обработки данных выглядит так:
$ModLoad ommysql
$ModLoad ommysql
*.* :ommysql:127.0.0.1,rsysdb,rsyslog,password
*.* @@localhost
Любая подсказка, почему Splunk не получает никаких данных?
Спасибо
Что ж, проблема решена путем использования локального IP-адреса вместо домена localhost, поэтому строка для пересылки системного журнала в Splunk (TCP-соединение) выглядит так:
*.* @@127.0.0.1
as находится на том же сервере, что и rsyslog. Splunk настроен на прослушивание набора данных TCP-порта 514 как системного журнала.