Rsyslog corretamente configurado no CentOS

4

Estou tentando configurar o Rsyslog 5.8.10 no CentOS 6.4 para enviar o erro do Apache e acessar os logs para um servidor remoto. Está funcionando, mas tenho algumas perguntas.

UPDATE : A, B e C são os únicos que aguardam uma resposta.

A) Eu gostaria de usar o menor número possível de filas (e recursos). Eu envio logs de erro para o servidor A, envio logs de acesso ao servidor A, envio os dois logs em um fluxo para o servidor B. Devo especificar uma fila por serviço externo (2 filas) ou uma fila por stream (3 filas, como eu tenho agora)? Isso é o que eu tenho:

$ActionResumeInterval 10
$ActionQueueSize 100000
$ActionQueueDiscardMark 97500
$ActionQueueHighWaterMark 80000
$ActionQueueType LinkedList
$ActionQueueFileName logglyaccessqueue
$ActionQueueCheckpointInterval 100
$ActionQueueMaxDiskSpace 1g
$ActionResumeRetryCount -1
$ActionQueueSaveOnShutdown on
$ActionQueueTimeoutEnqueue 10
$ActionQueueDiscardSeverity 0
if $syslogtag startswith 'www-access' then @@logs-01.loggly.com:514;logglyaccess

$ActionResumeInterval 10
$ActionQueueSize 100000
$ActionQueueDiscardMark 97500
$ActionQueueHighWaterMark 80000
$ActionQueueType LinkedList
$ActionQueueFileName logglyerrorsqueue
$ActionQueueCheckpointInterval 100
$ActionQueueMaxDiskSpace 1g
$ActionResumeRetryCount -1
$ActionQueueSaveOnShutdown on
$ActionQueueTimeoutEnqueue 10
$ActionQueueDiscardSeverity 0
if $syslogtag startswith 'www-errors' then @@logs-01.loggly.com:514;logglyerrors

$DefaultNetstreamDriverCAFile /etc/syslog.papertrail.crt # trust these CAs
$ActionSendStreamDriver gtls # use gtls netstream driver
$ActionSendStreamDriverMode 1 # require TLS
$ActionSendStreamDriverAuthMode x509/name # authenticate by hostname
$ActionResumeInterval 10
$ActionQueueSize 100000
$ActionQueueDiscardMark 97500
$ActionQueueHighWaterMark 80000
$ActionQueueType LinkedList
$ActionQueueFileName papertrailqueue
$ActionQueueCheckpointInterval 100
$ActionQueueMaxDiskSpace 1g
$ActionResumeRetryCount -1
$ActionQueueSaveOnShutdown on
$ActionQueueTimeoutEnqueue 10
$ActionQueueDiscardSeverity 0
*.* @@logs.papertrailapp.com:XXXXX;papertrailstandard & ~

B) Um bloco de fila é usado repetidamente por cada ação send que segue ou somente pelo primeiro ou somente até encontrar um send seguido por uma ação de descarte (~)?

C) Como redefinir um bloco de fila para que uma ação de envio não use uma fila?

D) Um bloco TLS é usado repetidamente por cada ação send que segue ou somente pelo primeiro ou somente até encontrar um send seguido por uma ação de descarte (~)?

E) Como faço para redefinir um bloco TLS para que uma ação de envio não use TLS?

F) Se eu executar rsyslog -N1 , obtenho:

rsyslogd -N1
rsyslogd: version 5.8.10, config validation run (level 1), master config /etc/rsyslog.conf
rsyslogd: WARNING: rsyslogd is running in compatibility mode. Automatically generated config directives may interfer with your rsyslog.conf settings. We suggest upgrading your config and adding -c5 as the first rsyslogd option.
rsyslogd: Warning: backward compatibility layer added to following directive to rsyslog.conf: ModLoad immark
rsyslogd: Warning: backward compatibility layer added to following directive to rsyslog.conf: MarkMessagePeriod 1200
rsyslogd: Warning: backward compatibility layer added to following directive to rsyslog.conf: ModLoad imuxsock
rsyslogd: End of config validation run. Bye.

Onde coloco o -c5 para que ele não seja mais executado no modo de compatibilidade?

    
por Gaia 25.10.2013 / 02:50

2 respostas

1

apenas preencha os que eu conheço

D) sim, para todos os seguintes, a menos que E) seja invocado.

E) é :omusrmsg:0 antes do próximo envio ( $ActionSendStreamDriverMode 0 está obsoleto)

    
por 11.02.2014 / 06:24
1

Re: onde colocar '-c5' - O CentOS usa / etc / sysconfig / rsyslog como o arquivo de configuração para os argumentos de inicialização do rsyslog, então você precisa adicionar '-c5' como o primeiro argumento para a linha SYSLOGD_OPTIONS =, ou seja,

SYSLOGD_OPTIONS="-c5"

Desculpe por não responder a todas as outras perguntas que você levantou. Acho que teria sido muito melhor se você os tivesse perguntado como separados, já que na forma atual, seria necessário um tempo considerável para responder a todos os itens da sua pergunta.

    
por 16.02.2014 / 19:12