Estamos enviando nossos syslogs para o ELK a partir dos servidores Red Hat Linux 7.2.
Queremos inserir o ip nas mensagens do syslog gravadas em / var / log / messages. Em seguida, use o recurso do rsyslog para enviar os logs para um balanceador de carga via tcp / ip.
O balanceador de carga encaminhará os logs para um logstash, ouvindo em uma porta tcp / up.
Estamos usando o código a seguir para fazer isso. O código reside em um arquivo conf no diretório /etc/rsyslog.d. zzzzzzzzz é o suporte para o meu ip - não podemos colocar isso no fórum de discussão.
O problema é que duas linhas são gravadas em / var / log / messages. Eles são idênticos, exceto pelo fato de um ter o ip embutido e o outro não. Isso quebra nossa análise de logstash.
A propósito, o ip que o logstash está vendo é para o balanceador de carga ou switch. É por isso que estamos passando por este processo. Não há como conseguir que nossa equipe de rede passe o ip correto.
$ template tplremote, "% timegenerated%% HOSTNAME% zzzzzzzzz% syslogtag %% msg ::: drop-last-lf% \ n" . / var / log / messages; tplremote
. @@ monatee-loggy-rslog-tpc.dev.bnymellon.net: 514