我将DMZ主机转发到DMZ系统日志,然后将所有系统日志消息转发到内部系统日志服务器。 它的大部分工作正常,但内部系统日志主机消息似乎都来自DMZ系统日志,即它失去了原来的主机名。
{Hosts} – > {DMZ syslog:openbsd:syslog v 1.17} – > {Internal Syslog:rsyslog v3}
我怎样才能保留主机名?
谢谢!
我个人build议使用syslog-ng作为你的内部服务器 – 它提供了比rsyslog更多的function。 在你的情况下特别感兴趣的是它为主机名的pipe理/重写/ etc提供了更好的处理。
如果你决定坚持使用rsyslog,这个configuration会保留远程和本地主机名 – 这是我在切换到syslog-ng之前所使用的。
$ModLoad imuxsock.so $ModLoad imklog.so $ModLoad imudp.so $UDPServerRun 514 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg * uucp,news.crit /var/log/spooler local7.* /var/log/boot.log 如果有问题,我也在我的init脚本中使用“-c 4”选项。
configuration/etc/rsyslog.conf以保留FQDN: $PreserveFQDN on
将系统日志消息pipe理到netcat将添加主机名。
一个简单的方法是在syslog.conf文件中使用netcat(nc)pipe道消息,如下所示:
。 “TAB”| nc RemoteLogServer -u 514 -w 1“
一个TAB字符必须在pipe道符号之前插入。