Eu tenho um servidor syslog centralizado (rsyslog no CentOS6, que funciona perfeitamente). O próximo passo foi adicionar o Splunk como uma ferramenta de análise de syslog. Tudo foi instalado perfeitamente - Splunk funciona, pode logar no front end e adicionar fonte de dados (porta TCP 514) mas a partir daí eu não vejo nenhum dado indexado pelo Splunk.
A configuração dorysylog para armazenamento e processamento de dados se parece com:
$ModLoad ommysql
$ModLoad ommysql
*.* :ommysql:127.0.0.1,rsysdb,rsyslog,password
*.* @@localhost
Alguma pista de por que o Splunk não está recebendo dados?
Obrigado
Bem, o problema foi resolvido usando IP local, em vez de um domínio 'localhost', de modo que a linha para encaminhamento do syslog para o Splunk (conexão TCP) se parece com
*.* @@127.0.0.1
como está no mesmo servidor que o rsyslog. O Splunk está configurado para ouvir o conjunto de dados da porta TCP 514 como syslog.
Tags logging