我试图通过rsyslog将我的所有apache和drush日志转发到我的Splunk服务器。
首先,在我的/etc/httpd/conf/httpd.conf文件中,我更改了条目:
ErrorLog var/log/httpd/error_log
至:
ErrorLog syslog:local1
如:http://wiki.rsyslog.com/index.php/Working_Apache_and_Rsyslog_configuration所述
然后在/etc/rsyslog.conf中,我添加:
# Save apache messages to apache.log
local1.* /var/log/apache.log
使用local1作为前缀的日志。到本地文件/var/log/apache.log然后:
local1.* @@splunk.myserver.com:8002
我的splunk服务器设置为侦听端口8002上的tcp连接。我还没有尝试过drush。问题是apache正在正常记录到以前的设置以记录到/ var / log / httpd / error_log,但在我进行更改后,没有任何内容发送到/var/log/apache.log或我的splunk服务器。 在对conf文件进行更改后,我重新启动了rsyslog和apache。
我遇到了同样的事情
我修复它遵循这个:1创建一个错误日志,如访问http://192.168.1.10/sadaf.php。那么看看/var/error.log有吗?
如果有,我测试splunk服务器使用端口514,sourcetype使用syslog。你可以尝试一下。