Splunk:Apache Access&一个项目中的Apache错误

时间:2013-10-10 00:15:28

标签: logging syslog splunk rsyslog syslog-ng

我想使用rsyslog发送给Splunkstorm。我想发送Apache Access& Apache错误到同一个项目。根据{{​​3}},我可以创建两个单独的项目(对我来说似乎浪费了最多允许的3个)或者我可以为我的事件添加一个标记。因此

  1. 标记可以是任何值/对,例如tag=\"access\"tag=\"error\"(我使用的是rsyslog $模板行语法)?
  2. 我使用哪种sourcetype? syslog 通用单行数据
  3. 这两个rsyslog配置看起来可以接受吗? access_log是 ncsa 合并& error_log是Apache 2.2标准。

    4. $ template access,“<%pri%>%protocol-version %% timestamp ::: date-rfc3339 %% HOSTNAME %% app-name %% procid %% msgid%tag = \”access \“ ]%msg%“

    $ template error,“<%pri%>%protocol-version %% timestamp ::: date-rfc3339 %% HOSTNAME %% app-name %% procid %% msgid%tag = \”error \“ ]%msg%“

0 个答案:

没有答案
相关问题
最新问题