在使用splunk直接接收syslog日志的时候,有很多问题,详细内容可以看参考资料部分。在采集syslog日志的时候,推荐采用syslog-ng & Splunk HF/UF的方式。
一、需求
这里使用syslog-ng作为syslog日志的集中收集服务器,需求如下:
1、日志存储时以路径作为区分,如
../Linux/
../Nginx/
../Firewall
这样在HF/UF采集的时候可以根据不同路径指定不同的index、sourcetype。
2、每个IP单独一个路径,如
../Linux/a.a.a.a/
../Linux/b.b.b.b/
这样在HF/UF采集的时候可以直接根据存放日志路径中IP的那个段作为splunk事件搜索中对应设备来源主机字段,如host_segment = 3(假如IP在路径中为/log/Linux/a.a.a.a/)。
3、日志以日期命名,如
../Linux/a.a.a.a/2017-10-23.log
../Linux/a.a.a.a/2017-10-24.log
这样是为了做日志清理方便。
二、逻辑图
以下是逻辑图:
三、配置关系图
以下是实际配置关系图:
(加入知识星球“企业Splunk实践”查看高清大图)
四、参考资料
High Performance syslogging for Splunk using syslog-ng
Using Syslog-ng with Splunk
https://www.splunk.com/blog/2016/03/11/using-syslog-ng-with-splunk.html
Syslog-ng在Splunk架构中的应用
Installing latest syslog-ng on RHEL and other RPM distributions
nginx日志配置:
http://nginx.org/en/docs/syslog.html
The syslog-ng Open Source Edition 3.12 Administrator Guide
https://www.balabit.com/documents/syslog-ng-ose-latest-guides/en/syslog-ng-ose-guide-admin/html/
rsyslog 8.30.0 documentation
http://www.rsyslog.com/doc/v8-stable/index.html
加入星球查看更多内容: