系统日志信息从vmware主机到graylog不能正确收集

我有一个运行在debian上的graylog syslog服务器，运行良好。 我想从我们的Vmware ESX主机发送Syslog到Graylog。 我通过执行以下操作将ESX主机指向syslog：

我打开vSphere Client并select我的主机。 然后我selectconfiguration…高级设置，向下滚动并展开Syslog并select全局。 现在在Syslog.global.loghost下，我把我的服务器信息 – > udp：// ipaddressofgraylog2：514我打开防火墙的系统日志。 一切工作在这一端。

我去我的Graylog服务器，我看到大量的数据被发送。 我调整主机syslog输出 – > vCenter，在清单中select一个主机，然后在configuration选项卡 – >高级设置 – >configuration – >主机代理 – >日志。 将日志logging级别设置为“错误”（现在）。

我的问题：我更接近Graylog“HOSTS”：

• AFS客户端错误消息“令牌已过期”
• Apache2 Debian服务器下降。 内存不足
• OpenNebula无法在重启后启动虚拟机
• Debian KVM和vm映像的位置不同于/ var / lib / libvirt / images
• KVM Win 7 Pro + RH virtio net驱动程序

Graylog有31个主机上市，但实际上只有7个主机。 来自ESX主机的系统日志信息并不是一个更好的单词“整洁”。 我的问题是如何使它“整洁”？ 如果我有3-4个ESX主机像这样发送他们的系统日志，parsing信息将是残酷的。

这是一个graylog问题？ Vmware ESX v5.5的问题？

从mrlesmithjr 链接 / 脚本 解答 ！

# Now we need to modify some things to get rsyslog to forward to graylog. this is useful for ESXi syslog format to be correct. echo "Updating graylog2.conf and rsyslog.conf" sed -i -e 's|syslog_listen_port = 514|syslog_listen_port = 10514|' /etc/graylog2.conf sed -i -e 's|#$ModLoad immark|$ModLoad immark|' /etc/rsyslog.conf sed -i -e 's|#$ModLoad imudp|$ModLoad imudp|' /etc/rsyslog.conf sed -i -e 's|#$UDPServerRun 514|$UDPServerRun 514|' /etc/rsyslog.conf sed -i -e 's|#$ModLoad imtcp|$ModLoad imtcp|' /etc/rsyslog.conf sed -i -e 's|#$InputTCPServerRun 514|$InputTCPServerRun 514|' /etc/rsyslog.conf sed -i -e 's|*.*;auth,authpriv.none|#*.*;auth,authpriv.none|' /etc/rsyslog.d/50-default.conf echo '$template GRAYLOG2,"<%PRI%>1 %timegenerated:::date-rfc3339% %FROMHOST% %syslogtag% - %APP-NAME%: %msg:::drop-last-lf%\n"' | tee /etc/rsyslog.d/32-graylog2.conf echo '$ActionForwardDefaultTemplate GRAYLOG2' | tee -a /etc/rsyslog.d/32-graylog2.conf echo '$PreserveFQDN on' | tee -a /etc/rsyslog.d/32-graylog2.conf echo '*.info @localhost:10514' | tee -a /etc/rsyslog.d/32-graylog2.conf