Proxmox VE syslog 轉送到 Graylog
本文記錄如何在 Proxmox VE 上安裝並設定 rsyslog,將系統 syslog 轉送到 Graylog,方便集中查詢、分析與告警。
適用環境
- 系統:Proxmox VE 9
- Graylog 已建立可接收 syslog 的 Input
- 本文範例 Graylog 位址:
192.168.1.100 - 本文範例 syslog 連接埠:
514
實際 IP 與連接埠請依照您的 Graylog Input 設定調整。
設定步驟
1. 安裝 rsyslog
Proxmox VE 底層為 Debian。部分環境預設未安裝 rsyslog,可先手動安裝:
apt update
apt install rsyslog
2. 編輯 rsyslog 設定檔
開啟 /etc/rsyslog.conf:
vim /etc/rsyslog.conf
在檔案最後加入 Graylog 的 syslog 轉送設定。
如果 Graylog Input 使用 UDP:
*.* @192.168.1.100:514
如果 Graylog Input 使用 TCP:
*.* @@192.168.1.100:514
格式說明:
*.*:轉送所有 facility 與 severity 的日誌。@host:port:使用 UDP 傳送。@@host:port:使用 TCP 傳送。192.168.1.100:514:Graylog syslog Input 的 IP 與連接埠,請依實際環境修改。
3. 重新啟動 rsyslog
設定完成後,重新啟動服務:
systemctl restart rsyslog
確認服務狀態:
systemctl status rsyslog
4. 驗證 Graylog 是否收到日誌
可以在 Proxmox VE 主機上送出一則測試訊息:
logger "Proxmox VE syslog forwarding test"
接著到 Graylog 搜尋關鍵字:
Proxmox VE syslog forwarding test
若可查到該訊息,代表 Proxmox VE 已成功將 syslog 轉送到 Graylog。
注意事項
- Graylog 端必須先建立對應的 Syslog UDP 或 Syslog TCP Input。
- Proxmox VE 主機與 Graylog 之間的防火牆需允許對應連接埠通訊。
- 若使用 TCP,rsyslog 設定需使用兩個
@,也就是@@host:port。 - syslog 常見連接埠為
514,但實際連接埠以 Graylog Input 設定為準。