将日志转发至远程服务器
了解如何使用 apsyslog 实用程序进行配置以将系统日志事件从 IBM® Integrated Analytics System 发送至远程日志服务器。
apsyslog 将更改 rsyslog 服务器和所有已连接节点上的配置文件。因此,所有已配置的消息都会传递到 rsyslogd,然后所需要的消息会重定向到日志服务器。
开始之前
- 只能在配置了外部 IP 的节点上配置该功能。
- 必须使远程日志记录服务器能够接受来自节点的转发消息。
- 在配置任何转发规则之前,您必须启用节点。
- 对于审计日志重定向,该实用程序将配置 /etc/audisp/plugins.d/syslog.conf 文件,并在 rsyslog.conf 中定义审计转发规则。
有效的审计日志设施选项是 LOG_LOCAL0 到 LOG_LOCAL7。在 /etc/audisp/plugins.d/syslog.conf 文件中:
active = yes direction = out path = builtin_syslog type = builtin args = LOG_LOCAL7 #default value as per scripts format = stringrsyslog.conf 中的相应条目:Local7.* @@<ServerIP:Port>
关于此任务
命令语法:
apsyslog <operation> --server <server:ip> --nodes <all | node0101,node0102> --mode <append|overwrite>有下列操作可用:
- apsyslog enable --server <server:ip> --nodes <all | node0101,node0102>
- 在所选择的节点上启用该功能。
- apsyslog show --nodes <all | node0101,node0102>
- 显示为所选择节点配置的转发规则的列表。
- apsyslog unset --fwdrule <facility.priority> --nodes <all | node0101,node0102>
- 删除所选择节点上的现有转发规则。
- apsyslog set --diskSpace <2g> --nodes <all | node0101,node0102>
- 设置所选择节点上的磁盘空间限制。
- apsyslog set --retryCount <5> --nodes <all | node0101,node0102>
- 设置在远程日志记录服务器不可访问情况下的重试次数。
- apsyslog disable -nodes <all | node0101,node0102>
- 复原已启用的节点上的 rsyslog 和 syslogconfig 文件。
可选参数:
- -h 及 --help
- 显示此帮助消息并退出。
- --server <RemoteServerIP:Port>
- 远程服务器日志记录详细信息。
- --fwdRule <facility.priority>
- 日志的设施和优先级。
- --nodes <all |node0101,node0102>
- 要配置的节点的列表。使用逗号 (,) 来分隔节点。
- --diskSpace <1g>
- 队列的磁盘空间限制,缺省值为 1g
- --retryCount <n>
- 在远程服务器日志记录主机不可访问情况下的重试次数。缺省值为 1。
- --mode <append|overwrite>
- 指定是要附加还是覆盖新配置的规则。缺省值为 append。在 append 方式下,实用程序会将新规则添加到现有转发规则。在 overwrite 方式下,实用程序会使用新规则来覆盖现有转发规则。