Уважаемые форумчане, добрый день!

Стоит задача - организация хранения логов. У разработчиков приложение использует filebeat - логи отправляются в ELK. Мне нужно создать хранилище для логов, что бы «было», где логи будут копиться годами. К сожалению syslog не подходит для организации хранения логов, ввиду того, что filebeat не умеет отправлять логи в syslog.

Вопрос, где хранить логи? «Правильно и сердито»

Уважаемые форумчане, #как настроить failover с использованием rsyslog?

Пусть:

• 10.0.0.1 - основной сервер логирования.

• 10.0.0.2 - резервный сервер логирования.

• 10.0.0.11 - клиент 1

• 10.0.0.12 - клиент 2

На серверах примитивная конфигурация:

(вырезал пустые строки и комментарии)

$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state

$template RemoteLogs,"/var/log/hosts/%HOSTNAME%/%PROGRAMNAME%/%$now%.log"
*.* ?RemoteLogs
& ~

*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
$FileCreateMode 0640

На клиентах пробую:

1. отправить сообщение с помощью logger

logger -n 10.0.0.1 -d -P 514 test1

logger -n 10.0.0.2 -d -P 514 test2

сообщения успешно попадают в логи серверов.

Переходим к тестированию failover

2. конфигурации:

в конфигурацию 10.0.0.11

добавлено:

ruleset(name="sendToLogServer") {
    action(type="omfwd" Target="10.0.0.1" Port="514" )
    action(type="omfwd" Target="10.0.0.2" Port="514" 
            action.execOnlyWhenPreviousIsSuspended="on" queue.dequeuebatchsize="1")
}
call sendToLogServer

на 10.0.0.1 прилетают логи, раскладываются и всё замечательно.

в конфигурацию 10.0.0.12 добавлено:

(legacy)

*.* @@10.0.0.1:514 $ActionExecOnlyWhenPreviousIsSuspended on 
& @@10.0.0.2:514 $ActionExecOnlyWhenPreviousIsSuspended off

на 10.0.0.1 прилетают логи, раскладываются и всё тоже замечательно.

теперь опускаем на 10.0.0.1 rsyslog. и в логах 10.0.0.2 нет ничего.

Те не работает, не зависимо от типа используемого конфига. Я что-то не доделал. Куда копать?

rsyslogd -v
rsyslogd 8.24.0-41.el7_7.2, compiled with:
    PLATFORM:                               x86_64-redhat-linux-gnu
    PLATFORM (lsb_release -d):
    FEATURE_REGEXP:                         Yes
    GSSAPI Kerberos 5 support:              Yes
    FEATURE_DEBUG (debug build, slow code): No
    32bit Atomic operations supported:      Yes
    64bit Atomic operations supported:      Yes
    memory allocator:                       system default
    Runtime Instrumentation (slow code):    No
    uuid support:                           Yes
    Number of Bits in RainerScript integers: 64