我一直在尝试通过Chrooted用户来loggingSFTP活动。 对于任何chroot用户,我还没有能够logging单行。 对于常规用户它的作品。 我目前的设置: 的/ etc / SSH / sshd_config中: Subsystem sftp internal-sftp -f AUTH -l VERBOSE ClientAliveInterval 180 PasswordAuthentication no Match Group sftpclients ChrootDirectory /home/sftp/%u AllowTCPForwarding no X11Forwarding no ForceCommand internal-sftp -f AUTH -l VERBOSE /etc/rsyslog.conf: $AddUnixListenSocket /home/sftp.log.socket $AddUnixListenSocket /home/sftp/dev/log.socket $AddUnixListenSocket /home/sftp/user1/dev/log.socket $AddUnixListenSocket /home/sftp/user2/dev/log.socket :programname, isequal, "internal-sftp" -/var/log/sftp2.log :programname, isequal, "internal-sftp" ~ /etc/rsyslog.d/sftp.conf: input(type="imuxsock" […]
我正在build立一个RSYSLOG中继服务器。 我只想将从远程系统收到的日志转发到目标服务器。 我已经find了来自本地目录的标记日志的例子,但是没有来自远程系统的传入日志。 理想情况下,我不想在这个中继上保留任何日志,只是直接将它们传递给目标日志服务器。 if $fromhost-ip=='192.168.1.10' then /var/log/app1/app1.log module(load="imfile" PollingInterval="10") #needs to be done just once # File 1 input(type="imfile" File="/var/log/app1/app1.log" Tag="app1:" Severity="Informational" Facility="local7") if $syslogtag == "app1:" then @@192.168.1.50:1514 任何帮助,将不胜感激! 谢谢!
我的日志数据已更新,但系统日志无法按时login。 约2-5分钟后logging一个事件。 重新启动rsyslog服务后,它工作2分钟,然后发生同样的事情。 请帮忙。 包括CPU,内存和I / O在内的服务器利用率正常,磁盘空间可用。 Rsyslogconfiguration文件: $ModLoad imuxsock $ModLoad imjournal $ModLoad imudp $UDPServerRun 514 $ModLoad imtcp $InputTCPServerRun 514 $AllowedSender TCP, 127.0.0.1, 10.10.0.0/16 $WorkDirectory /var/lib/rsyslog $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $IncludeConfig /etc/rsyslog.d/*.conf $OmitLocalLogging on $IMJournalStateFile imjournal.state *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg :omusrmsg:* uucp,news.crit /var/log/spooler local7.* /var/log/boot.log
我想从我的Debian Lenny FW发送snort警报。 系统日志从防火墙发送日志消息到一个中央rsyslog。 在我的中央rsyslog,我有这样的事情: $ModLoad ommail $ActionMailSMTPServer server.company.local $ActionMailFrom [email protected] $ActionMailTo [email protected] $ActionExecOnlyOnceEveryInterval 1 $template mailSubject,"[SNORT] Alert from %hostname%" $template mailBody,"Snort message\r\nmsg='%msg%'" $ActionMailSubject mailSubject if $msg regexp 'snort\[[0-9]*\]: \[[0-9]*:[0-9]*:[0-9]*].*' then ommail:;mailBody 但是我没有收到邮件,我甚至可以用ping -s 1400这样的东西来触发snort,它logging下来的东西,但仍然没有邮件! 2010-01-08T09:25:58+00:00 Hostname snort[4429]: [1:499:4] ICMP Large ICMP Packet [Classification: Potentially Bad Traffic] [Priority: 2]: {ICMP} ip_dest -> ip_src
我已经设置了一个将事件写入MySQL数据库的中央rsyslog服务器。 仔细观察事件,可以看到所有可能不必要的事件。 在RHEL / CentOS系统上,我看到并正在考虑丢弃以下内容(采用rsyslog.conf格式): :msg,包含“(root)CMD(run-parts /etc/cron.hourly)”〜 :msg,包含“运行程序/ usr / sbin / rhn_check”〜 还有哪些其他types的信息可以被丢弃?
我试图通过configurationiptables来保护我的服务器(Ubuntu Lucid 10.04)免受一些蛮力的ssh攻击。 我想把这些匹配logging到DROP规则中,但是它不起作用,所以我尝试了基本的: iptables -A INPUT -p tcp –dport 22 -j LOG –log-level info –log-prefix "TEST: " 但它不logging任何东西! 我试着改变日志级别:debug或者7,然后把kern.=debug -/var/log/firewall到/etc/syslog.conf但是没有任何东西写到/var/log/messages或者/var/log/firewall 该规则确实得到了一些匹配: $ iptables -L -v pkts bytes target prot opt in out source destination 44 5543 LOG tcp — any any anywhere anywhere tcp dpt:ssh LOG level debug prefix `TEST: ' iptables logging not […]
我设置了一个heroku日志消耗,在我的日志logging实例上将消息发送到端口514。 尽pipe如此,日志服务器发送消息/ var / log / syslog,我希望它将它们发送到/var/log/appname.log或其他东西,以便它们被隔离。 我该怎么做呢? 我读了一些基于主机名的分裂,但我不知道如何确定哪个主机名heroku将发送。
现在,我有rsyslog处理PHP应用程序的日志。 那么…我有PHP使用rsyslog做logging。 目前,它以UTClogging时间。 我希望它在适当的时候loginEST / EDT。 我如何做这个改变? 为了logging,在PHP和OS上正确设置时区。 需要注意的是操作系统是在虚拟机中,但我不知道为什么这样做会有所作为,因为主机也在EDT。
我已经安装了一个CentOS 6.3盒子来收集来自几台设备的日志,我为每台主机设置了日志轮转设置。 基本上,它会按年,月,日和主机来转动日志文件。 除了看起来Rsyslog守护进程创build了具有root的文件/文件夹:root owner&group以外,一切都很好。 然后,我不能导航到date文件夹,如06,07,08,而不必先修改权限。 我当然可以用root来导航,但这并不理想。 有没有办法让Rsyslog守护进程创build具有我的用户分开的特定组(sysadmin)的文件夹。 问候。
我发送给系统日志的消息有一些标签,如下所示: "[date] [text here] tags:tag1,tag2,tag3 [more text here]" 我已经有一个规则,只保存包含“tags:”文本的行到一个特定的文件。 如果该文件仅包含该消息的子string,在这种情况下只是date和标签部分,那将是非常好的。 rsyslog可以在保存之前对消息做一些处理/操作吗? 提前致谢。