带有elasticsearch和转发自定义日志的rsyslog

Question

我已经用Elasticsearch和Kibana配置了rsyAdd.1-d日志服务器。我能够将/var/ Log /消息从客户机Linux服务器(CentOS 7，RHEL 6)转发到中央Linux服务器(CentOS 7)。

但是，我在所有客户机服务器中都有一个自定义日志文件(例如:/var/ log / have命令)，它需要转发到中央日志服务器。此日志文件通过命令行记录由各个客户端服务器中的所有用户执行的所有命令。我添加了以下规则，以便将日志从客户端转发到服务器。但是，使用下面的规则，我的自定义日志文件(/var/ log / rule命令)不会被转发到中央日志服务器。

 *.* @@remotehost:514

对于需要向客户端的rsyslogd.conf中添加哪些配置以将这个自定义日志文件转发到中央日志服务器，有任何帮助吗？

Answer 1

考虑到您有不同格式的混合平台，我建议使用filebeat + logstash。

在每个服务器中安装filebeat并使用logstash操作日志。

文件输出将允许您以任何您想要的路径创建目录。