尝试在没有本地存储的情况下使用 rsyslog 发送日志时出错

Question

我正在尝试使用 rsyslog 将日志发送到 datadog。理想情况下，我试图在没有将日志存储在托管 rsyslog 的服务器上的情况下执行此操作。我在我的配置中遇到了一个我无法找到的错误。 rsyslog 启动时出错。

omfwd: could not get addrinfo for hostname '(null)':'(null)': Name or service not known [v8.2001.0 try https://www.rsyslog.com/e/2007 ]

这是我添加到默认 rsyslog.config 中的部分

module(load="imudp")
input(type="imudp" port="514" ruleset="datadog")

ruleset(name="datadog"){
    action(
        type="omfwd" 
        action.resumeRetryCount="-1" 
        queue.type="linkedList" 
        queue.saveOnShutdown="on" 
        queue.maxDiskSpace="1g" 
        queue.fileName="fwdRule1"
)

$template DatadogFormat,"00000000000000000 <%pri%>%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% - - - %msg%\n "

$DefaultNetstreamDriverCAFile /etc/ssl/certs/ca-certificates.crt
$ActionSendStreamDriver gtls
$ActionSendStreamDriverMode 1
$ActionSendStreamDriverAuthMode x509/name

$ActionSendStreamDriverPermittedPeer *.logs.datadoghq.com
    *.* @@intake.logs.datadoghq.com:10516;DatadogFormat
}

Answer 1

首先要做的事情。

imudp 模块通过 udp 启用日志接收。

omfwd 模块启用日志转发 over (tcp, udp, ...)

---

所以很可能 - 或至少据我所知 - 使用 rsyslog，您只想在本地记录消息，然后将它们发送到 datadog。

我对@9​​87654323@ 标签一无所知，所以我无法为您提供帮助。但是跳出来的是，在你的action 中你还没有定义日志应该发送到哪里。

ruleset(name="datadog"){
    action(
        type="omfwd"
        target="10.100.1.1"
        port="514"
        protocol="udp"
        ...
    )
    ...
}