Всем привет, есть пропиетарные (формат не стандартный )логи  на сервере , пишутся в файлы. Хотим организовать забор на другой сервер ELK.  Есть опыт с beats но его отказались ставить админы сервера.  Есть ли какое то решение , кто может подскажет? Можем ли обойтись Rsyslog -ом если формата нужного не существует.  Спасибо!

если rsyslog не совсем старый - то можно

Пример мой, с какого-то гайда из инета:

cat /etc/rsyslog.d/01-json-template.conf
template(name="json-template"
  type="list") {
    constant(value="{")
      constant(value="\"@timestamp\":\"")     property(name="timereported" dateFormat="rfc3339")
      constant(value="\",\"@version\":\"1")
      constant(value="\",\"message\":\"")     property(name="msg" format="json")
      constant(value="\",\"sysloghost\":\"")  property(name="hostname")
      constant(value="\",\"severity\":\"")    property(name="syslogseverity-text")
      constant(value="\",\"facility\":\"")    property(name="syslogfacility-text")
      constant(value="\",\"programname\":\"") property(name="programname")
      constant(value="\",\"procid\":\"")      property(name="procid")
    constant(value="\"}\n")
}

tail of /etc/rsyslog.conf
*.*     @ip:port;json-template

если нужно парсить логи - то пропустите через logstash и там сделайте

mmnormalize в rsyslog берите и будет вам щастье, если rsyslog не древний и не падучий.. тут очень от версии зависит

Вот эти две доки читать

Для чтения из файла юзать imfile

Спасибо, будем копать rsyslog доки

Там бывают (хаха) неочевидности, но все находится.. только рекомендую писать конфиги рейнерскриптом («новым» языком описания конфигов), а не $Упячкой.

Фигово то, что примеров нормальных конфигов в инете мало..

Ну вместо чтения доки проще хайпожорить с хипстерскими балалайками же 😁

Это всегда лучше :)

Я сказал "проще" :-)

Но конечно лучше взять vector.dev

Лёш, ну ты прям удивил.

Это я могу

Прям неожиданность, шопесец.

Я даже не читал вопрос. Раз ответ бери рсислог значит правильный ответ вектор