我需要修改Apache中的LogFormat,以便添加X-Forwarded-For标头并logging客户端的真实IP。 我试图编辑在httpd.conf文件,但我然后发现LogFormat两个单独的部分。 所以我不确定它们是否是重复的,是否应该删除它们中的任何一个,我不知道要编辑哪一个,或者我应该编辑它们。 我需要一些build议。 这是第一部分: <IfModule log_config_module> LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined LogFormat "%h %l %u %t \"%r\" %>s %b" common CustomLog "logs/access_log" common <IfModule logio_module> LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %I %O" combinedio </IfModule> </IfModule> 第二部分: <IfModule mod_log_config.c> LogFormat "%h %l %u %t […]
在本地日志输出中,我可以看到debugging消息,但这些消息不会显示在远程日志logging服务器上。 它似乎忽略这些,但它打印警告和错误级别的消息就好了。 这些是本地(Ubuntu 14.04.2 LTS)syslog-ng.conf条目: # This is the default behavior of sysklogd package # Logs may come from unix stream, but not from another machine. # source s_src { system(); internal(); }; destination d_net { udp("1.2.3.4"); }; log { source(s_src); destination(d_net); }; s_src也用于本地日志logging,所以它似乎包含debugging消息。 这是日志服务器的(Debian 6.0)configuration: destination df_remote { file( "/var/log/remotelogs/from_$HOST" create_dirs(yes) owner(root) group(root) perm(0644) […]
我使用rsyslogd 7.4.7运行CentOS 7.0.1406,使用util-linux 2.23.2运行logger 。 我有两台机器通过交换机连接。 当我尝试使用logging器从一台机器login到另一台时,没有logging。 当我使用–stderr选项时,没有任何回应stderr ,这让我暂停。 tcpdump显示数据离开机器A和数据进入机器B. 机器B上的rsyslogdconfiguration如下: $ModLoad imtcp $InputTCPServerRun 2515 *.* /home/greg/log.log 在debugging模式下,我开始使用: rsyslogd -f /home/greg/log.conf -i /home/greg/log.pid -dn 当我在机器A上运行这个logging器命令 logger –tcp –stderr –port 2515 –server machineB `date` 我从rsyslogddebugging收到这个输出,但在日志文件中没有输出。 epoll returned 1 entries epoll push ppusr[0]: 0x7f4fb55c8470 tcpsrv: ready to process 1 event entries tcpsrv: processing item 0, pUsr 0x7f4fb55c8470, […]
我正在尝试启动由特定事件触发的任务。 我使用的filter的XMLconfiguration如下: <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(Level=4 or Level=0) and (EventID=5145)]]and *[EventData[Data[@Name='AccessList'] and (Data='%%1538 %%4416 %%4419 %%4423 ')]]and *[EventData[Data[@Name='ShareName'] and (Data='\\*\Justin-Archiv')]] </Select> </Query> </QueryList> 与事件查看器一起使用时,configuration工作正常。 但是,如果符合条件的新事件发生,则该任务不会被触发。 删除后 *[EventData[Data[@Name='AccessList'] and (Data='%%1538 %%4416 %%4419 %%4423 ')]] 部分,事件被触发。 所以这个部分一定有问题。 非常感谢提前!
我有一个Windows服务正在运行的另一个进程,打印到STDERR和STDOUT许多行。 我正在捕获这些行,并将其redirect到一些日志文件。 我想login这个日志文件,如果它的大小变得太大,不能创build另一个文件,并保存前一个。 而不是自己实现它,我想使用一些像spdlog的第三方logrotate库。 问题是,我不能明显地使进程使用logging器API和如果
背景 我有两种types的日志文件:从ETL进程输出,然后从下游处理器输出。 我们称之为“ETL”和“处理器”日志。 ETL日志位于日志目录下的自己的文件夹中,而处理器日志则位于同一个目录中。 所以,我有一个像这样的文件夹结构: /Archive /DataLoader_Supplemental /DataLoader_ETLForRequestID_1 /(…40 log files) /DataLoader_ETLForRequestID_2 /(…40 log files) DataLoader_Processor_123.log DataLoader_Processor_456.log 每个日志的样式都是一样的(因为我可以使用相同的grok)。 目标 我希望将这两种日志types都放入与不同types相同的ElasticSearch索引中,以便查询它们。 问题 在将其指向只有一种types的日志( *.log在特定的ETL请求文件夹中)时,我能够做到这一点。 但是,我似乎无法使用两种不同types的工作,或者使其工作来扫描所有ETL文件夹并提取所有日志。 我究竟做错了什么? 我目前的configuration文件 input { file { path => '//MyFileServer/DATALOADER-TST/Archive/DataLoader_Supplemental/DataLoader_ETLForRequestID**/*.log' type => "etl" sincedb_path => "C:/Users/skilleen/Desktop/temp/logstash/target/.sincedb.etl.log" start_position => "beginning" } file { path => '//MyFileServer/DATALOADER-TST/Archive/DataLoader_Supplemental/*.log' type => "processor" sincedb_path => "C:/Users/skilleen/Desktop/temp/logstash/target/.sincedb.processor.log" start_position […]
我有一个非常繁忙的日志文件(我们称之为/var/log/service.log ),这也是经常search故障排除的原因。 输出到它几乎连续和24/7。 它可能每天约1-2 GB,但我们需要所有这一切。 由于大日志文件的fgrep实际上很慢,因此需要经常轮换。 我把logrotate设置为在/etc/cron.hourly运行, hourly指令和大小限制为512M左右。 这是按预期工作:文件从/var/log/service.log旋转到/var/log/service.log-20150810或你有什么。 问题是,重命名只是inode /目录条目的一个整体变化,所以rsyslogd继续写入/var/log/service.log-20150810一段时间,而新创build的/var/log/service.log坐着空着。 在某些时候, rsyslogd决定开始写新的,但我不清楚它的韵律或理由。 无论如何,我需要的是“踢” rsyslogd告诉它开始写入一个新的,原始的/var/log/service.log跟随日志的旋转。 发送它SIGHUP似乎没有办法。 任何不涉及可能会失去大量日志条目(即重新启动rsyslogd )的想法,将不胜感激! (注意:我知道logrotate命名scheme会导致/var/log/service.log.1以及其他情况,所以,我有点困惑地看到/var/log/service.log-20150810 。 rsyslogd是否rsyslogd内部进行自己的轮换?是否会对此产生不利影响?) 提前谢谢了!
我想更轻松地从日志消息创build日志检查规则。 理想情况下,我想设置一些东西,使得我只接收一个我收到的logcheck消息,并将其传递给某个工具,然后在正确的位置使用正则expression式位进行日志检查。 然后根据需要对其进行检查并进行调整,然后将其与现有规则一起安装。 具体的上下文是,我目前正在得到一堆这样的消息: Sep 19 06:48:51 sideshowbarker kernel: TCP: drop open request from 186.2.166.213/31877 我已经非常了解如何从手动构build一个日志检查规则,将过滤这种types的消息。 我只是不想手动。 我宁愿自动化,至less部分。
我正在尝试集中日志收集的不同位置上安装多个Yealink SIP电话。 我在rsyslog的主要位置build立了一个CentOS服务器。 我将UDP 514的所有stream量转发到此服务器。 没有办法指定一个唯一的标识符与Yealink电话中的日志一起发送。 (我已经向制造商发送了function请求)。 我想这可能是我唯一的select。 也没有办法指定从手机发送的端口syslog。 目前,我的日志是通过IP地址分隔的,因此每个WAN IP的文件夹都会被创build,并且来自该远程IP的所有日志都将被转储到该文件夹中的单个文件中。 这意味着如果我在一个位置有5个电话,他们的所有日志都将放入一个文件中。 我怎样才能让他们分离到该文件夹中的每个设备的个人日志? 这是我目前的指令: $template FILENAME,"/var/log/%fromhost-ip%/syslog.log" 这是我的规则: *.* ?FILENAME
可以iptables日志tcp分裂握手和同时开放连接以及tcp三方握手? 这是两种types的TCP连接描述。 在这里我find了如何在特定端口上logging新的tcp连接,是否也将这些连接logging到tcp连接?