如何管理整個 /var/log 以實現集中化？

我有幾台伺服器（Linux，由不同人管理的各種發行版），我想將這些日誌集中在splunk>中。日誌收集在其中，/var/logs但來源要麼直接更新它們（例如 Apache），要麼通過rsyslog. 換句話說，我可以假設日誌將就位，但它們出現的方式沒有定義（以及伺服器之間的變化）。

因此，我正在尋找一種通過生成每日增量來**整體****處理的方法，然後將其發送到 splunk>。/var/logs**我可以編寫一個腳本來執行這些操作（解析樹、收集文件、添加到存檔、將它們歸零等），但我確信這個問題已經以更好的方式解決了（類似於logrotate但對於整個目錄）

（注意：跟進評論我想強調一個事實，即我無法控製或了解將在/var/log.文件）

您應該能夠通過在系統上使用 rsyslog 將所有日誌發送到集中式日誌伺服器來做到這一點。

• 對於通過 syslog 記錄的應用程序，這相當簡單。
• 對於直接記錄到文件的應用程序，rsyslog 提供了一個文本文件輸入監視器模組，該模組將文本文件中的行發送到 rsyslog 進行處理。

關於 logrotate，配置起來相當簡單，但是您必須分析每個日誌文件並適當地配置 logrotate。

我在工作中使用 splunk 來處理來自一堆伺服器、一些 linux 和一些 windows 的日誌

強烈建議您查看 splunk 通用轉發器。有了它，您可以選擇要發送的日誌，基本上您可以創建任何有關日誌處理的方案，調整起來更容易，然後是 rsyslog，還有一個部署伺服器，可以幫助您以後管理轉發器，

查看 splunk 網站，有一個簡單的說明如何開始使用它

希望對你有幫助，

引用自：https://serverfault.com/questions/604897