Existe uma maneira de encadear o encaminhamento do syslog? Por exemplo, como um clienthost pode encaminhar seus syslogs para o ServerA e o ServerA encaminhar tudo para o CentralSyslogServer?
Estou usando o rsyslog.
O motivo é que o Servidor A é uma máquina dual homed que obtém logs de outros hosts que devem ser armazenados no CentralSyslogServer. Atualmente, o CentralSyslogServer parece estar recebendo apenas logs locais do ServerA, mas nada que foi encaminhado para o ServerA do clienthost.
Resolvido:
Eu tive que editar / etc / sysconfig / syslog e adicionar -h ao SYSLOGD_OPTIONS
Meu erro - o serverA está usando o syslogd
Sim, você pode:
No rsyslog.conf do clienthost:
*.* @@ServerA:514
No rsyslog.conf do ServerA:
*.* @@CentralSyslogServer:514
Claro, isso é um uso realmente básico. Leia o manual ou os procedimentos on-line para obter um uso mais avançado. Aqui há um pequeno tutorial sobre encaminhamento confiável com o rsyslog.
Para informar seus servidores para receber logs:
$ModLoad imtcp
$InputTCPServerRun 514
Acho que você precisa deste manual: link
Depende do volume de syslogs que você está adquirindo, mas algo como a versão gratuita do Splunk é ótima nesse tipo de coisa, não 100% de certeza de que ela se ajustará à sua exigência, mas pensei em informar você de qualquer maneira .