Estou depurando um problema estranho com uma solução SaaS de log. Parece que estamos duplicando logs enviados para o SaaS. Os logs são enviados por meio de um encaminhador de rsyslog por TLS. Estou tentando ver se consigo reproduzir o problema executando um servidor rsyslog remoto e encaminhando os logs de uma instância para o servidor a ser monitorado. Vamos chamar o servidor onde os logs originam guineapig
e o servidor rsyslog remoto watcher
.
watcher
está configurado para escutar na porta UDP 514 usando configuração como esta:
$ModLoad imudp.so
$UDPServerRun 514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# log everything to the /var/log/remotesyslog file
*.* /var/log/remotesyslog
guineapig
está configurado para encaminhar tudo para watcher
usando seu endereço IP:
$ModLoad imuxsock
$ModLoad imjournal
$ModLoad imudp.so
$UDPServerRun 514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$IMJournalStateFile imjournal.state
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg *
uucp,news.crit /var/log/spooler
local7.*
/var/log/boot.log
Dentro de /etc/rsyslog.d/22-remote-rsyslog.conf
on guineapig
:
# forward everything over UDP to watcher
*.* @@10.0.1.1:514
Infelizmente, quando reinicio o serviço rsyslog do SystemD e tento disparar uma mensagem de log em guineapig
, não vejo aparecer no arquivo em watcher
:
user@guineapig ~$ logger "please work"
# doesn't work
No entanto, se eu disser diretamente a logger
para onde ir, a linha de log será exibida:
user@guineapig ~$ logger -n 10.0.1.1 "please work for real"
# works
Estou tendo muita dificuldade em percorrer a documentação do rsyslog, mas, por algum motivo, meus logs não estão sendo encaminhados corretamente para watcher
.
Existe um problema óbvio na minha configuração em guineapig
? Ambos os sistemas estão no CentOS 7.