Splunk como analisador de syslog

2

Eu tenho um servidor syslog centralizado (rsyslog no CentOS6, que funciona perfeitamente). O próximo passo foi adicionar o Splunk como uma ferramenta de análise de syslog. Tudo foi instalado perfeitamente - Splunk funciona, pode logar no front end e adicionar fonte de dados (porta TCP 514) mas a partir daí eu não vejo nenhum dado indexado pelo Splunk.

A configuração do

rysylog para armazenamento e processamento de dados se parece com:

$ModLoad ommysql
$ModLoad ommysql
*.* :ommysql:127.0.0.1,rsysdb,rsyslog,password
*.* @@localhost

Alguma pista de por que o Splunk não está recebendo dados?

Obrigado

    
por JackTheKnife 09.09.2013 / 22:01

1 resposta

1

Bem, o problema foi resolvido usando IP local, em vez de um domínio 'localhost', de modo que a linha para encaminhamento do syslog para o Splunk (conexão TCP) se parece com

*.* @@127.0.0.1

como está no mesmo servidor que o rsyslog. O Splunk está configurado para ouvir o conjunto de dados da porta TCP 514 como syslog.

    
por 11.09.2013 / 20:48

Tags