Syslog-ng，日志文件和fifo文件

Question

我有一些关于syslog fifo和日志文件的问题。

例如，我有我的gc.log和我有系统日志

source s_splunk { 
    udp(ip("127.0.0.1") port(514)); 
    file("/logs/gc.log" follow_freq(1)); 
}; 

destination d_splunk { 
    tcp (my.splunk.intranet port (1514)); 
}; 

log { 
    source (s_splunk); 
    destination (d_splunk); 
}; 

索引上的Splunk这个gc.log此配置。但这样我得到高CPU消耗，我喜欢改变我如何索引这个日志文件。

我想通过fifo文件做索引，但我无法改变应用程序如何生成这个日志文件。

我该怎么做？

Answer 1

我发现了一些方法来解决我的问题。我删除我的gc.log文件并构建这个文件，就像一个fifo文件，我改变了这个文件的权限。

因此，JVM使用de fifo登录并在syslog-ng上配置一个目的地来写入日志文件并发送到我的splunk vip（my.splunk.intranet）。

有了这个解决方案，我的系统日志没有很高的CPU使用率。