我有几个服务器(Linux,不同的人pipe理的各种发行版),我想集中在splunk上 。 日志收集在/var/logs但是源直接更新(例如Apache)或者通过rsyslog 。 换句话说,我可以假设这些日志将会到位,但它们出现的方式并没有被定义(以及服务器之间的变化)。
因此,我正在寻找一种方法来处理/var/logs作为一个整体,通过生成每日增量,然后我将发送到splunk>。 我可以写一个脚本来做这样的事情(parsing树,收集文件,添加到档案,零等等),但我相信这个问题已经得到解决的一个更好的方式(沿线logrotate但是对于整个目录)
(注:后续的评论我想强调的事实,我没有控制,也不知道将在/var/log创build的文件,具体而言,我不想依靠需要我configuration手的解决scheme日志文件)
您应该可以在系统上使用rsyslog将所有日志发送到集中日志服务器。
关于logrotate,configuration相当简单,但您必须分析每个日志文件并适当configurationlogrotate。
我正在使用splunk来处理来自一堆服务器,一些linux和一些窗口的日志
高度build议你看看splunk通用货运代理。 有了它,你可以select,发送什么日志,基本上你可以创build任何日志处理scheme,调整方式更容易,然后rsyslog,有一个部署服务器,可以帮助您稍后pipe理转发器,
看看splunk网站,有一个简单的解释如何开始使用它
希望这对你有帮助,