我试图通过rsyslog将我的所有apache和drush日志转发到我的Splunk服务器。
首先,在我的/etc/httpd/conf/httpd.conf文件中,我更改了条目:
ErrorLog var/log/httpd/error_log
为:
ErrorLog syslog:local1
如:http://wiki.rsyslog.com/index.php/Working_Apache_and_Rsyslog_configuration
所述然后在/etc/rsyslog.conf中,我添加:
# Save apache messages to apache.log
local1.* /var/log/apache.log
使日志以local1为前缀。到本地文件/var/log/apache.log 然后:
local1.* @@splunk.myserver.com:8002
我的splunk服务器设置为侦听端口8002上的tcp连接。
我还没有尝试过匆匆忙忙。问题是apache正在记录到以前的设置,以便记录到/ var / log / httpd / error_log,但在我进行更改后,没有任何内容发送到/var/log/apache.log或我的splunk服务器。
在对conf文件进行更改后,我重新启动了rsyslog和apache。
答案 0 :(得分:1)
我遇到了同样的事情
我按照以下方法修复:1创建错误日志,例如访问http://192.168.1.10/sadaf.php。然后看看/var/error.log有吗?
如果有,我测试splunk服务器使用端口514,sourcetype使用syslog。 你可以尝试一下。