如何解决Fluentd - remote_syslog 插件,使用原始发件人主机名设置主机名属性
我正在尝试使用 Fluentd 从多个服务器(部署在云环境中)收集系统日志/事件日志。 Fluentd 充当日志收集器,然后将它们发送到 SIEM 工具 IBM Qradar。
我的问题是,当日志到达 IBM Qradar 时,它会将日志源视为 Fluentd 收集器主机名。我想要原始服务器主机名。
这是 IBM Qradar 从 Fluentd 接收当前日志的方式。 (LOGCOLSRV 是 fluentd 服务器,DBMONSRV 是日志源名称)
<13>Apr 16 20:44:12 **LOGCOLSRV** fluentd: **host:DBMONSRV** ident:sshd pid:14178 message:pam_unix(sshd:session): session closed for user testperfmon client_addr:10.152.112.22
这就是我希望 IBM Qradar 接收它的方式。
<13>Apr 16 20:44:12 **DBMONSRV** fluentd: host:DBMONSRV ident:sshd pid:14178 message:pam_unix(sshd:session): session closed for user testperfmon client_addr:10.152.112.22
以下是Fluentd收集器的配置文件。
<source>
type syslog
port 5140
bind 0.0.0.0
source_address_key client_addr
source_hostname_key "hostsource"
tag rsyslog
</source>
<match rsyslog.**>
@type copy
<store>
@type remote_syslog
host 10.152.152.152
port 514
protocol tcp
enable_ruby true
hostname "#{Socket.gethostname}"
packet_size 4096
program fluentd
<format>
@type single_value
message_key message
</format>
</store>
</match>
我尝试使用 <code>"#{Socket.gethostname}" </code> 但它仍然提供 Fluentd 的主机名,而不是原始日志源主机名。
请帮忙。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
