用rsyslog将日志发送到远程服务器

Question

我正在尝试使用Logstash、Elasticsearch和Kibana设置集中式日志记录，并且在将日志发送到我的日志服务器时遇到了困难。

Logstash正在监听TCP 5000，并且正在成功地从我的服务器接收日志，而不是从其他服务器接收日志。我可以在5000上打电话到我的日志服务器，Logstash正在接收消息，所以我相信问题在于rsyslog发送日志。

我使用了CentOS 6.5，并在/etc/rsyAdd.1-.conf中添加了以下内容：

$WorkDirectory /var/lib/rsyslog # where to place spool files
*.* @@logs.<domain_removed>.com:5000

在进行更改后，rsyslog将重新启动，但Logstash没有收到任何错误。假脱机目录是空的，所以我不认为它们是发送失败。

May 16 20:46:10 rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-    pid="5097" x-info="http://www.rsyslog.com"] exiting on signal 15.
May 16 20:46:10 kernel: imklog 5.8.10, log source = /proc/kmsg started.
May 16 20:46:10 rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="3556" x-info="http://www.rsyslog.com"] start

对我如何追踪错误有什么想法吗？

编辑:这个问题是由SELinux引起的

Answer 1

SELinux阻止rsyslog发送端口5000。默认情况下，SELinux只允许rsyslog在UDP 514上发送通信量。

我在SELinux中添加了一个例外，包括：

$sudo semanage port -a -t syslogd_port_t -p tcp 5000