#logstash #syslog-ng
Вопрос:
Я пересылаю журнал в журнал с помощью системного журнала, но я хочу сохранить отметку времени.
Я использую syslog-ng для пересылки журнала на два сервера журналов.
Один из них-системный журнал-ng -> elasticsearch.
Другой-syslog-ng -> logstash->> elasticsearch.
На втором сервере нет такой метки времени, как:
(null) %NGIPS-6-430003
Но я хочу формат:
<134>2021-08-12T05:46:23Z firepower-1 (null) %NGIPS-6-430003
Вот моя конфигурация системного журнала-ng:
source s_network {
udp(port(514) flags(no-parse));
};
destination d_syslog_tcp {
syslog("ip" transport("tcp") port(10000));
};
log {
source(s_network);
destination(d_syslog_tcp);
};