我对syslog fifo和日志文件有一些疑问。
例如,我有我的gc.log,我在syslog上有这个配置
source s_splunk {
udp(ip("127.0.0.1") port(514));
file("/logs/gc.log" follow_freq(1));
};
destination d_splunk {
tcp (my.splunk.intranet port (1514));
};
log {
source (s_splunk);
destination (d_splunk);
};
在splunk上索引这个gc.log。但是这样我获得了高CPU消耗,我喜欢改变我对这个日志文件编制索引的方式。
我想通过fifo文件进行索引,但我无法更改应用程序生成此日志文件的方式。
我该怎么做?
答案 0 :(得分:0)
我找到了解决问题的方法。我删除了我的gc.log文件并将此文件构建为fifo文件,并且我更改了此文件的权限。
因此JVM使用de fifo来记录并在syslog-ng上配置一个目标来写入登录文件并发送到我的splunk vip(my.splunk.intranet)。
使用此解决方案,我的syslog没有高CPU使用率。