用于收集syslog数据的flume

svmlkihl  于 2021-06-04  发布在  Hadoop
关注(0)|答案(1)|浏览(481)

我正在尝试从10个设备(路由器)收集系统日志。我知道我可以使用syslog源代码,但需要在属性中说明主机和端口。它们是否是运行flume代理的计算机上的本地端口。以及如何将系统日志重定向到flume正在侦听的端口。

guykilcj

guykilcj1#

经典的syslog源代码基本上设计为连接到一个syslog主机,也就是说,您必须为10个syslog服务器设置10个源代码。所有这些源都可以在一个代理中运行,并使用一个通道将它们的事件假脱机到一个接收器—但是,如果数据量很大,此设置很快就会遇到性能问题。您必须配置路由器以连接到syslog主机/端口配置。
更大的设置是为每个syslog服务器安装一个代理,并使用avro-sink/avro-source将事件假脱机到一个或两个代理,然后这些代理再次对事件进行排序并将它们写入您想要的位置。
您还可以使用较新的多端口syslog tcp源,该源产生多个端口。这允许更多路由器连接到一个系统日志源:

a1.sources = r1
a1.channels = c1
a1.sources.r1.type = multiport_syslogtcp
a1.sources.r1.channels = c1
a1.sources.r1.host = 0.0.0.0
a1.sources.r1.ports = 10001 10002 10003
a1.sources.r1.portHeader = port

在此配置中,syslog在代理上提供端口1000110002和10003。您可以将路由器配置为连接到代理的ip和这三个端口之一。

相关问题