/var/log/secureをBigQueryに送ってRe:dashで攻撃っぽいアクセスなどを可視化してみたかったので送ってみました。
準備
* /var/log/secureをtd-agentでも読めるようにパーミッションを下げる
* /var/log/secureがローテートされてもパーミッションが戻らないようにlogrotateの設定を変更する
td-agentの設定
td-agentの設定を追加します。
* 部分でログの送信元のサーバのホスト名をレコードに追加している
# syslog (secure log)
@type record_transformer