そのため、Haproxyを使用してUbuntu 20.04 LTSサーバーを設定し、ログ情報をSplunk Cloudに渡してみました。
グローバルエントリを含むHaproxy.cfgがあります。
log 127.0.0.1 local4
/etc/rsyslog.confにリモートサーバーのエントリがあります。
*.* @@10.1.1.1:1603
(@@はTCP用です。はい、私はInfoSecに割り当てられた非標準ポートを使用しています。)
最新バージョンの Haproxy は、次のコマンドを使用して独自の rsyslog 構成ファイル /etc/rsyslog.d/hapyoxy.log を生成します。
# Create an additional socket in haproxy's chroot in order to allow logging via
# /dev/log to chroot'ed HAProxy processes $AddUnixListenSocket /var/lib/haproxy/dev/log
# Send HAProxy messages to a dedicated logfile :programname, startswith, "haproxy" { /var/log/haproxy.log stop }
最後に、/etc/rsyslog.d/50-default.confに1行を追加しました。
local4.* /var/log/haproxy.log
だから私は信じるすべての設定が完了したので、実行してみましょう。ロガー「働きなさい」次のコマンドを実行すると、tail /var/log/haproxy.log および tail /var/log/syslog 行が表示されますが、リモート側には何もありません。次に、次のことを試してください。logger -n 10.1.1.1 -P 1603 「本当に働いてください」ただし、ログファイルまたはリモート側ではその行は表示されません。
だから私は本当に単純なものを見落としていることを本当に望んでいます。どんな助けでも大変感謝します。
##編集する##
したがって、TCPdumpとLoggerを使用してSplunkにイベントを送信できます。しかし、syslog用のHaproxyはまだ機能しません。