Sortie Rsyslog en GELF

rsyslog est puissant, mais ses documents ne sont pas explicites. Je ne peux pas comprendre comment parsingr un file journal et l'apather directement vers Graylog au format GELF .

J'ai trouvé des morceaux de documentation sur la sortie de gelf dans rsyslog, mais je ne sais pas trop comment procéder.

Jusqu'à présent, il a essayé de placer le conf inférieur dans /etc/rsyslog.d/01-access.conf mais cela ne semble pas fonctionner …

 template(name="gelf" type="list") { constant(value="{\"version\":\"1.1\",") constant(value="\"host\":\"") property(name="hostname") constant(value="\",\"short_message\":\"") property(name="msg" format="json") constant(value="\",\"timestamp\":\"") property(name="timegenerated" dateformat="unixtimestamp") constant(value="\",\"level\":\"") property(name="syslogseverity") constant(value="\"}") } input(type="imfile" File="/var/log/apache2/access.log" Tag="apache-access" ) if $programname == 'apache-access' then { action( type="omfwd" Target="GRAYLOG-IP" Port="12201" Protocol="tcp" template="gelf" ) stop } 

One Solution collect form web for “Sortie Rsyslog en GELF”

Vous rencontrez ce problème car l'envoi via tcp ne fonctionne pas avec rsyslog en raison de la spécification du délit de message nul de Gelf. À partir de la documentation officielle de rsyslog: ( http://www.rsyslog.com/doc/v8-stable/tutorials/gelf_forwarding.html ) "Veuillez noter que le cas ci-dessus ne fonctionne que pour le transport UDP. Lors de l'utilisation de TCP, Graylog attend un Nullbyte comme délimiteur de message. Ce n'est actuellement pas possible avec rsyslog. " Votre exemple devrait toutefois fonctionner via udp.

Un mot de conseil, je reorderais certainement de vérifier les règles de filtrage de rsyslog, car le traitement des messages continuera avec votre exemple (consultez le caractère tilde).

  • Encyclopédie en string
  • / var / log / messages spamés avec des messages POLLERR
  • Les messages Rsyslog sont tronqués, pas envoyés au file correct
  • vSphere ESXi 5.0 héberge syslog vers Graylog2 - Entrées de journal Mangled
  • Filtrer les messages syslog Cisco ASA qui n'ont pas de class
  • Logiciel recommandé pour un server de journalisation centralisé?
  • Meilleures pratiques pour rejeter les messages dans (r) syslog?
  • Syslogd: traduction de l'installation sur les messages de journalisation vers un server
  • Comment puis-je nettoyer les syslogs kiwi en ne présentant pas d'informations hexadécimales?
  • La search élastique s'arrête sans raison
  • Ubuntu syslog: après la rotation du journal, rien n'est écrit sur / var / log / syslog
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.