Hallo liebe Community.
Ich habe nun schon einiges getestet. Ich möchte, dass der Inhalt eines Logfiles von einem RSYSLOG Server zu zwei weiteren Logging Servern weitergeleitet wird. Zu allererst hab ich es simpel mit @x.x.x.x und @y.y.y.y versucht. Das hat nicht geklappt. Ich habe eine Rule, die anhand von der Source ein Logfile mit dem Hostname in /var/log speichert. Das geht auch. Ausschnitt aus meiner rsyslog.conf
1 2 3 4 5 6 | #Rules for processing $template RemoteLogs,"/var/log/%HOSTNAME%.log" if ($hostname == 'switch.test.de') then { action(type="omfile" file="/var/log/switch.test.de.log") stop } |
Dann habe ich zwei Destinations zum Weiterleiten angelegt
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | ruleset(name="sendtoGL") { action(type="omfwd" Target="x.x.x.x" Port="514") } ruleset(name="sendtoUSM") { action(type="omfwd" Target="y.y.y.y" Port="514") } input(type="imfile" File="/var/log/switch.test.de.log" Tag="switch.test.de.log" Ruleset="sendtoGL" ) input(type="imfile" File="/var/log/switch.test.de.log" Tag="switch.test.de.log" Ruleset="sendtoUSM" ) |
Er leitet die Logs nur an die erste Destination weiter. Die zweite wird ignoriert. Wenn ich den ersten auskommentiere, kommen die Logs an dem zweiten an. Aber beides gleichzeitig geht nicht. Habt ihr eine Idee?
Ich habe es auch schon mit einer anderen Config getestet:
1 2 3 4 5 | if $hostname == 'switch.test.de' then { action(type="omfwd" Target="x.x.x.x" Port="514" Protocol="udp") action(type="omfwd" Target="y.y.y.y" Port="514" Protocol="udp") } |