我正在尝试将我的apache日志转发到rsyslog，然后再转发到splunk_Apache_Logging_Splunk_Rsyslog

我正在尝试将我的apache日志转发到rsyslog，然后再转发到splunk

apache logging

我正在尝试将我的apache日志转发到rsyslog，然后再转发到splunk,apache,logging,splunk,rsyslog,Apache,Logging,Splunk,Rsyslog,我正试图通过rsyslog将所有apache和drush日志转发到Splunk服务器首先，在我的/etc/httpd/conf/httpd.conf文件中，我更改了条目： ErrorLog var/log/httpd/error_log 致：如所述：然后在/etc/rsyslog.conf中添加： # Save apache messages to apache.log local1.* /va

我正试图通过rsyslog将所有apache和drush日志转发到Splunk服务器

首先，在我的/etc/httpd/conf/httpd.conf文件中，我更改了条目：

ErrorLog var/log/httpd/error_log

致：

如所述：

然后在/etc/rsyslog.conf中添加：

# Save apache messages to apache.log
local1.*                                                /var/log/apache.log

要使日志前缀为local1。到本地文件/var/log/apache.log 然后：

local1.* @@splunk.myserver.com:8002

其中，我的splunk服务器设置为侦听端口8002上的tcp连接。我还没试过打德鲁什。问题是apache的日志记录与之前的设置相同，可以记录到/var/log/httpd/error\u log，但在我进行更改后，没有任何内容可以记录到/var/log/apache.log或我的splunk服务器。
在对conf文件进行更改后，我重新启动了rsyslog和apache

我按照以下步骤修复它：1制作一个错误日志，比如access

http://192.168.1.10/sadaf.php

。那么，要查看/var/error.log，您有吗

如果有，我测试splunk服务器使用端口514，sourcetype使用syslog。

您可以试试。

在我可以看到的配置文件中，您没有指定文件“/var/log/apache.log”。在local1.*之后不需要它吗？

local1.* @@splunk.myserver.com:8002