OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.

Configuration pour envoi rsyslog vers stream graylog ?


#1

Bonjour,
Je ne trouve pas dans la documentation comment configurer rsyslog pour l'envoi vers un flux graylog.
J'ai trouvé ceci :
. @graylog.example.org:514;RSYSLOG_SyslogProtocol23Format
Mais je crois qu'il faut pousser le token OVH et je vois pas comment.
Merci.


#2

Bonjour,

Merci pour votre intêret pour Logs Data Platform ! Vous pouvez utiliser le format LTSV pour ajouter le Token pour convertir votre message en utilisant un template rsyslog : Un exemple est fourni dans cette documentation dans l'exemple rsyslog template:


Si vous avez des questions par rapport à cet aspect de la configuration de rsyslog, n'hésitez pas à nous contacter et à poster votre fichier rsyslog ici afin que nous vous aidions à produire une configuration qui correspond à votre cas d'usage.


#3

Bonjour,

Après qq heures de galère j'ai réussi a configurer rsyslog pour envoyer vers graylog sans passer par logstash. La procédure (en partant du principe que l'instance est sur gra2.logs.ovh.com et que le serveur client est un debian) :

  • installer le paquet rsyslog-gnutls
  • telecharger le certificat SSL du serveur graylog et le mettre dans un fichier sur le serveur client, par exemple dans /etc/ssl/certs/gra2.logs.ovh.com.pem
  • Modifier la config rsyslog en créant un fichier /etc/rsyslog.d/50-graylog.conf avec le contenu

$DefaultNetstreamDriverCAFile /etc/ssl/certs/gra2.logs.ovh.com.pem

# set up the action
$DefaultNetstreamDriver gtls # use gtls netstream driver
$ActionSendStreamDriverMode 1 # require TLS for the connection
$ActionSendStreamDriverAuthMode anon # server is NOT authenticated

# take care to separator, it must be TAB char, not space
$template ltsv,"X-OVH-TOKEN:XXXX-YYYY-ZZZZ	time:%timestamp:::date-rfc3339%	host:%HOSTNAME%	level:%syslogseverity%	facility:%syslogfacility%program:%app-name%	pid:%procid%	message:%msg:2:32768%\n"
#if $programname startswith 'testid' then @@gra2.logs.ovh.com:12201;ltsv
*.* @@gra2.logs.ovh.com:12201;ltsv
  • tester la config et relancer rsyslog

rsyslogd -N1 && service rsyslog restart
  • tester l'envoi d'un message qui devrait se retrouver dans /var/log/syslog et dans graylog

logger -i -t test test_message`

#4