使用syslog-ng对多个Apache虚拟主机进行远程日志记录

Question

我正在运行两个Apache web服务器，每个服务器上都有4-8个独立的虚拟主机。我正在尝试设置一个专用日志服务器，将每个虚拟主机访问和错误日志存储在该虚拟主机的单独目录中。

例如，在日志服务器上，

/var/log/remove/10.0.0.2/virtualhost1包含access_log和error_log

/var/log/remove/10.0.0.2/虚拟主机2包含access_log，error_log /var/log/remove/10.0.0.3/虚拟主机3包含access_log和error_log

等等..。

现在，我已经将其拆分为主机，但我不知道如何通过虚拟主机进行额外的操作。下面是日志服务器syslog-ng.conf中的相关行

源r_src {tcp(“0.0.0.0”)端口(5140)；}；

目标r_all {file(“/opt/splunk/log/$HOST”)；}；

日志{源(R_src)；目标(R_all)；}；

任何帮助都将不胜感激。谢谢!

Answer 1

我认为这应该能回答你的问题：

• http://bazsi.blogs.balabit.com/2008/10/syslog-ng-message-parsing/

摘要: syslog-ng可以从日志消息中提取字段，然后可以在模板替换中使用这些字段。只要您在Apache日志中记录虚拟主机名(%v)，您就应该拥有所需的所有信息。