通过syslog-ng转发日志

Question

我正在尝试使用syslog-ng将我的日志转发到我的中央syslog服务器。但它不起作用。

这是我在syslog-ng.conf中添加的行

source s_access { file("/var/log/httpd/access_log" follow_freq(10) flags(no-parse)); };
destination logserver { udp("xxxxxx.amazonaws.com" port(514)); };
log { source(s_access); destination(logserver); };

但是当我重新启动时，我得到了以下错误。

[root@ip-10-244-143-226 ~]# /etc/init.d/syslog-ng restart
Stopping syslog-ng:                                        [  OK  ]
Starting syslog-ng: syntax error at 79
Parse error reading configuration file, exiting. (line 79)
                                                           [FAILED]

第79行是定义源s_access的行。

问题可能是什么？

谁来帮帮我:(下面这行就是问题所在。源文件{ s_access (“/var/log/httpd/access_log”follow_freq(10) flag(no-parse，validate-utf8))；}；

但我不知道哪里出了问题。

我有apache、tomcat和一些自定义应用程序，我需要将这些日志发送到远程中央syslog服务器。

Answer 1

如果您试图将Apache事件记录到syslog-ng中，那么您会遗漏一些东西。有一篇来自LogZilla here的博客文章解释了做这件事的步骤。您应该能够根据您的需要对其进行调整。但为了完整起见，我将在这里重新发布，以防该博客页面被删除：

此方法不仅适用于Apache，还适用于任何通用日志格式的日志。以通用日志格式存储的文件中的每一行都具有以下语法：

host ident authuser date request status bytes

第一步是向syslog-ng配置中添加一个新源。在/etc/syslog-ng/conf.d目录中，我们将创建一个文件并将其命名为apache.conf。

cd /etc/syslog-ng/conf.d 
 vi apache.conf

一旦文件在编辑器中打开，我们将首先添加源代码。

source s_apache {
 file("/var/log/apache2/access.log");
 file("/var/log/apache2/error.log");
 };

如果已在web服务器上启用ssl-access.log，则还可以添加该文件。在同一个文件中，我们需要添加一个目的地。

log { source(s_apache);
 destination(d_tls);
 };

在本例中，目标是在上一教程中创建的TLS隧道。保存文件并退出，然后重新启动syslog-ng。

service syslog-ng restart

您现在应该可以在Logzilla服务器上接收apache事件，但它们看起来有点不对劲。这是因为它们还没有格式化。为此，我们需要编辑apache配置。此步骤仅适用于Apache。对于其他通用日志格式源，每个源都有自己的格式化解决方案。

cd /etc/apache2
 vi apache2.conf

在该文件中，您将找到类似以下内容的行：

LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\" %v" combined

它将需要添加一点(它将忽略预先设置的日期)。

LogFormat "Jan 12 12:12:12 %v apache[666]: %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\" %v" combined

保存文件并重新启动Apache，您的日志应该如下所示：

0 www user notice apache None 97.76.75.78 - - [07/Nov/2013:15:14:41 -0500] "GET /highslide/highslide.css HTTP/1.1" 304 209 
"http://www.yourserver.com/" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0; EIE10;ENUSMSN)" 
www.yourserver.com