如何解决fluentd:从多个 rsyslog 客户端在 elasticsearch 中创建多个索引
我尝试在 fluentd 中创建不同的源,这些源应该基于来自服务器的 rsyslog 消息在 elasticsearch 中的不同索引中结束。
我将不同的事件发送到 fluentd 服务器上的专用端口。这是为了将来可能将事件发送到不同的 EFK 堆栈。
事件应该在专用索引中结束(具有不同的生命周期策略)。 我使用以下配置从 rsyslog 客户端发送事件:
$DefaultNetstreamDriverCAFile /path/to/file.crt
$DefaultNetstreamDriverCertFile /path/to/file.crt
$DefaultNetstreamDriverKeyFile /path/to/file.key
$DefaultNetstreamDriver gtls
cron.notice;daemon.notice;kern.notice;syslog.notice;lpr.notice action(type="omfwd" protocol="tcp" Target="192.168.1.10" Port="5140" StreamDriverMode="1" StreamDriver="gtls" StreamDriverAuthMode="anon")
auth.info;authpriv.info;mail.info action(type="omfwd" protocol="tcp" Target="192.168.1.10" Port="5141" StreamDriverMode="1" StreamDriver="gtls" StreamDriverAuthMode="anon")
我将事件分离到两个不同的目标,以便在未来将它们发送到两个 EFK 服务器。
使用 tcpdump 我看到加密的数据包进入两个端口,这取决于在系统上采取的操作。因此,rsyslog 似乎向正确的目标发送正确的信号......
fluentd 配置如下:
#
# Source: rsyslog
#
<source>
@type syslog
port 5140
bind 0.0.0.0
<transport tls>
ca_path /path/to/file.crt
cert_path /path/to/file.crt
private_key_path /path/to/file.key
</transport>
tag syslog
</source>
#
# Output: rsyslog
#
<match syslog.**>
@type elasticsearch
host 192.168.1.10
port 9200
user logstash_writer
password <password>
logstash_format true
logstash_prefix rsyslog
<buffer>
flush_interval 5s
</buffer>
</match>
#
# Source: rsyslog auth/authpriv/mail
#
<source>
@type syslog
port 5141
bind 0.0.0.0
<transport tls>
ca_path /path/to/file.crt
cert_path /path/to/file.crt
private_key_path /path/to/file.key
</transport>
tag authlog
</source>
#
# Output: rsyslog auth/authpriv/mail
#
<match authlog.**>
@type elasticsearch
host 192.168.1.10
port 9200
user logstash_writer
password <password>
logstash_format true
logstash_prefix rauthlog
<buffer>
flush_interval 5s
</buffer>
</match>
整个事情的结果是在 elasticsearch 中创建了 rauthlog-* 索引,也显示了预期的条目,但 rsyslog-* 索引从未出现,事件与创建日志条目“集体”。 ealsticsearch 中的 Writer 用户和索引模板存在...
所以,问题是,我似乎在上升过程中丢失了一个“日志目标”...... rsyslog 和 TLS 似乎运行正常。
有人知道我做错了什么吗?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。