LINUX.ORG.RU
решено ФорумAdmin

Проблемы с логирование через fluentd (+rsyslog)

 , , ,


0

1

Всем привет. Я новичок в администрировании сети, поэтому прошу вашей помощи. Описываю ситуацию: я пересылаю в Greylog посредством fluentd и rsyslog. Но мне нужно туда ещё пересылать и следующие логи:

  • /var/log/clamav/clamav.log
  • /var/log/fail2ban.log
  • /var/log/suricata/fast.log
  • /var/log/rkhunter.log

И я совершенно не понимаю, как сделать это!

Для большего понимания картины, всё что я пока что сделал - это я добавил следующие строки в /etc/td-agent/td-agent.conf:

<source>
  @type syslog
  tag graylog2
</source>

<match graylog2.**>
  @type gelf
  host 127.0.0.1
  port 12201
  <buffer>
    flush_interval 5s
  </buffer>
</match>

И следующую строку в /etc/rsyslog.conf:

*.* @127.0.0.1:5140

Надеюсь на вашу помощь!



Последнее исправление: DedZhabych (всего исправлений: 1)
Ох BTRFS, ну сколько можно
Блокировка частых запросов с одного IP средствами nginx

Ответ на: комментарий от cobold

В общем, посмотрел я данный issue: https://serverfault.com/questions/396136/how-to-forward-specific-log-file-outside-of-var-log-with-rsyslog-to-remote-serv

И составил такую конфигурацию в /etc/rsyslog.conf

$ModLoad imfile

# ClamAV logs
$InputFileName /var/log/clamav/clamav.log
$InputFileTag ClamAV
$InputFileStateFile stat-clamav
$InputFileSeverity notice
$InputFileFacility local4
$InputRunFileMonitor

# Fail2Ban logs
$InputFileName /var/log/fail2ban.log
$InputFileTag fail2ban
$InputFileStateFile stat-fail2ban
$InputFileSeverity info
$InputFileFacility local5
$InputRunFileMonitor

# Suricata logs
$InputFileName /var/log/suricata/fast.log
$InputFileTag Suricata
$InputFileStateFile stat-suricata
$InputFileSeverity warning
$InputFileFacility local6
$InputRunFileMonitor

# RKHunter logs
$InputFileName /var/log/rkhunter.log
$InputFileTag rkhunter
$InputFileStateFile stat-rkhunter
$InputFileSeverity error
$InputFileFacility local7
$InputRunFileMonitor

Может кому-то пригодится.

DedZhabych
() автор топика
Ох BTRFS, ну сколько можно
Admin
Блокировка частых запросов с одного IP средствами nginx