rsyslog não encaminhando mensagens para o servidor rsyslog remoto

2

Estou depurando um problema estranho com uma solução SaaS de log. Parece que estamos duplicando logs enviados para o SaaS. Os logs são enviados por meio de um encaminhador de rsyslog por TLS. Estou tentando ver se consigo reproduzir o problema executando um servidor rsyslog remoto e encaminhando os logs de uma instância para o servidor a ser monitorado. Vamos chamar o servidor onde os logs originam guineapig e o servidor rsyslog remoto watcher .

watcher está configurado para escutar na porta UDP 514 usando configuração como esta:

$ModLoad imudp.so
$UDPServerRun 514

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# log everything to the /var/log/remotesyslog file
*.*    /var/log/remotesyslog 

guineapig está configurado para encaminhar tudo para watcher usando seu endereço IP:

$ModLoad imuxsock
$ModLoad imjournal

$ModLoad imudp.so
$UDPServerRun 514

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$IMJournalStateFile imjournal.state

authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 *
uucp,news.crit                                          /var/log/spooler
local7.*      

                                      /var/log/boot.log

Dentro de /etc/rsyslog.d/22-remote-rsyslog.conf on guineapig :

# forward everything over UDP to watcher
*.* @@10.0.1.1:514

Infelizmente, quando reinicio o serviço rsyslog do SystemD e tento disparar uma mensagem de log em guineapig , não vejo aparecer no arquivo em watcher :

user@guineapig ~$ logger "please work"
# doesn't work

No entanto, se eu disser diretamente a logger para onde ir, a linha de log será exibida:

user@guineapig ~$ logger -n 10.0.1.1 "please work for real"
# works

Estou tendo muita dificuldade em percorrer a documentação do rsyslog, mas, por algum motivo, meus logs não estão sendo encaminhados corretamente para watcher .

Existe um problema óbvio na minha configuração em guineapig ? Ambos os sistemas estão no CentOS 7.

    
por Naftuli Kay 03.05.2016 / 03:12

1 resposta

3

Como foi observado aqui , parece que rsyslog usa uma sintaxe diferente para encaminhamento sobre UDP do que TCP.

Para o encaminhamento TCP:

*.* @@10.0.1.1:514

Para encaminhamento de UDP:

*.* @10.0.1.1:514

Essa alteração corrigiu minha configuração de registro.

    
por 03.05.2016 / 03:13