rsyslog с elasticsearch и пересылкой пользовательских журналов
Я настроил сервер журнала rsyslogd с помощью Elasticsearch и Kibana. I я могу пересылать / var / log / messages с клиентских серверов Linux (CentOS 7, RHEL 6) на центральный сервер журналов Linux (CentOS 7).
Однако у меня есть собственный журнал файл (например: / var / log / usercommands ) на всех клиентских серверах, который необходимо перенаправить на центральный сервер журнала. Этот файл журнала записывает все команды, выполняемые всеми пользователями на соответствующем клиентском сервере через команду линия. Я добавил ниже правило для пересылки журналов от клиентов на сервер. Но, согласно приведенному ниже правилу, мой пользовательский файл журнала ( / var / log / usercommands ) не пересылается на центральный сервер журналов.
*.* @@remotehost:514
Любая справка о том, какую конфигурацию необходимо добавить в rsyslogd.conf клиентов для пересылки этого настраиваемого файла журнала на центральный сервер журнала?
Учитывая тот факт, что у вас смешанные платформы, которые ведут журнал в разном формате, я бы предложил filebeat + logstash .
Установите filebeat на каждом сервере и управлять журналом с помощью logstash .
вывод файла позволит вам создать каталог любым способом, который вам нужен.