现在,控制处理指定日志消息的/etc/rsyslog.conf的内容如下所示: # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none;;kern.none /var/log/messages 将下面的内容放在该部分的前面 ,可以正确地将“named”消息写入/var/log/named/named.log。 # Write named/bind messages to their own log file :programname, isequal, "named" /var/log/named/named.log 问题是那些“已命名”的消息仍然被写出到/ var / log / messages文件中。 我将如何修改生成/ var / log / messages以不写出“named”消息的行? 注意:这是RHEL / CentOS 6附带的rsyslog v5。 附录:从下面接受的答案是 # Write named/bind […]
我维护运行Apache的Centos服务器上托pipe的许多虚拟主机(超过60个)。 使用Plesk创build虚拟主机,它使用以下模式/var/www/vhosts/<domain_name>/statistics/logs/{access,error}_log为每个域创build单独的日志文件。 我想集中所有这些日志在另一台服务器上用elasticsearch + logstashparsing它们。 目前,我有一个bash脚本,它为/var/www/vhosts目录中包含的每个域在/etc/rsyslog.d/创build<domain>.conf文件,其configuration如下: InputFileName /var/www/vhosts/<domain_name>/statistics/logs/access_log $InputFileTag apache-access: $InputFileStateFile state-apache-access $InputRunFileMonitor 有没有办法创build一个单一的.conf文件,将所有的日志发送到我的中央日志logging服务器? 像$InputFileName /var/www/vhosts/*/statistics/logs/access_log 任何帮助表示赞赏!
我似乎无法findslapd中的每个日志级别如何工作的示例。 我希望slapdlogginglogin的用户,以及他们尝试login的服务器,以及任何validation错误。 我试过用这个LDIF修改日志级别到每个级别(debugging级别除外): dn:cn = config changetype:modify replace:olcLogLevel olcLogLevel: 有人能指点我一个比OpenLDAP手册更有用的资源吗? 或者给我解释日志级别产生的信息types? 谢谢你的帮助。
我使用rsyslog和relpbuild立了一个日志服务器。 只要接收远程日志并将其放置在/ var / spool / rsyslog中,它就可以正常工作。 我的问题是:这些消息中的大部分也出现在我的/ var / log / messages文件中,这些文件可能相当大,速度相当快。 我在日志服务器上的configuration: #### MODULES #### $ModLoad imuxsock # provides support for local system logging $ModLoad imklog # provides kernel logging support (previously done by rklogd) # RELP config $ModLoad imrelp $InputRELPServerRun 2514 #### GLOBAL DIRECTIVES #### # Filter duplicated messages $RepeatedMsgReduction on # […]
我有这个rsyslog.conf文件: # /etc/rsyslog.conf Configuration file for rsyslog. # # For more information see # /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html ################# #### MODULES #### ################# $ModLoad imuxsock # provides support for local system logging $ModLoad imklog # provides kernel logging support #$ModLoad immark # provides –MARK– message capability # provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # provides TCP […]
我没有看到rsyslog拿起我想监视的所有文件。 我正在使用Ubuntu 12.04 LTS的标准configuration,但是将以下内容添加到/etc/rsyslog.d/30-logentries.conf。 我只看到来自/var/log/myapp.log的消息以及在/etc/rsyslog.d/50-default.conf中监视的几个系统日志文件被推送到LogEntries,而不是我正在监视的其他文件。 我已经validation了以下内容: 我的其他日志文件是世界可读的 我的其他日志文件正在写入 LogEntries正在从服务器接收日志消息 / var / log / syslog可以看到LogEntries看到的内容,所以日志消息看起来不会被日志条目丢失 重新启动rsyslog不能解决问题 任何想法,我做错了什么? $ModLoad imfile # Load the imfile input module $ModLoad imklog # for reading kernel log messages $ModLoad imuxsock # for reading local syslog messages $InputFileName /var/log/myapp.log $InputFileTag myapp: $InputFileStateFile myapp $InputRunFileMonitor $InputFileName /var/log/nginx/myapp.log $InputFileTag nginx-myapp: $InputFileStateFile nginx-myapp $InputRunFileMonitor […]
我试图设置一个rsyslog客户端(运行rsyslog 7.4.8),它将通过两种不同的SSLconfigurationlogin到两台远程服务器。 要做到这一点,它看起来像我需要从旧的configuration文件格式迁移到新的基于行动的格式。 如果我有以下的/etc/rsyslog.conf然后一切工作正常。 远程服务器接收消息,netstat显示从客户端到远程服务器的已build立的TCP连接: $ModLoad imuxsock.so $ModLoad imklog.so $DefaultNetstreamDriver gtls $ActionSendStreamDriverAuthMode anon $ActionSendStreamDriverMode 1 $DefaultNetstreamDriverCAFile /etc/pki/rsyslog/ca.pem $DefaultNetstreamDriverCertFile /etc/pki/rsyslog/local-cert.pem $DefaultNetstreamDriverKeyFile /etc/pki/rsyslog/local-key.pem *.* @@10.50.59.241:6514 从我能从rsyslog文档中收集到的信息,我应该可以按照以下方式做一些事情: $ModLoad imuxsock.so $ModLoad imklog.so $DefaultNetstreamDriverCAFile /etc/pki/rsyslog/ca.pem $DefaultNetstreamDriverCertFile /etc/pki/rsyslog/local-cert.pem $DefaultNetstreamDriverKeyFile /etc/pki/rsyslog/local-key.pem *.* action (type="omfwd" protocol="tcp" Target="10.50.59.241" Port="6514" StreamDriverMode="1" StreamDriver="gtls" StreamDriverAuthMode="anon") 但是这第二个configuration不起作用。 rsyslogd重新启动成功,所以我知道这个configuration没有语法错误。 但是netstat从来不会显示连接,即使试图连接远程系统日志服务器。 我错过了什么?
我想让nginx直接login到piwik。 我有问题得到rsyslog来接受一些syslog ng语法。 rsyslog文件说syslog-ng conf是兼容的。 source s_nginx_20 { pipe("/var/lib/nginx/access.log" program_override("nginx-access-log")); }; filter f_nginx_20 { match("nginx-access-log" value("PROGRAM")); }; destination d_piwik { program("/path/to/piwik.sh" template("$MSG\n")); }; log { source(s_nginx_20); filter(f_nginx_20); destination(d_piwik); }; 以上结果是: Mar 3 02:05:21 CentOS-65-64-minimal kernel: imklog 5.8.10, log source = /proc/kmsg started. Mar 3 02:05:21 CentOS-65-64-minimal rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="24662" x-info="http://www.rsyslog.com"] start Mar 3 […]
我已经设置了一个rsyslog服务器,它接受来自客户端的日志信息。 我可以成功接收syslog消息,但是我也有兴趣logging一些文件 。 这是我的客户的样子: $ModLoad imfile $InputFileName /var/log/drew-error.log $InputFileTag drew: $InputFileStateFile stat-drew-error $InputFileSeverity error $InputRunFileMonitor $InputFilePollInterval 1 我不确定要在我的服务器configuration。 理想情况下,我想要服务器输出这样的东西: /var/log/remote/$HOSTNAME/drew-error.log 我正在以正确的方式进行吗? 这是合理的尝试实现? 最佳案例场景: 我希望能够更新我在客户端上观看的文件,而不必重新configuration服务器。 如果这不可能,或者太难,我可以围绕一个硬编码的解决scheme工作。 我试过了 到目前为止,我已经尝试了一些服务器configuration(虽然我觉得他们不是正确的解决scheme/方法): $template syslog, "/var/log/remote/%hostname%/%programname%/%$year%%$month%%$day%/syslog" *.*;auth,authpriv.none ?syslog 和 $template DrewTemplate,"/var/log/remote-DREWAPP-%HOSTNAME%.log" if $programname == 'drew:' then -?DrewTemplate & ~ $template PerHostLog,"/var/log/remote-%HOSTNAME%.log" if $fromhost-ip startswith '1.2.' then -?PerHostLog & ~
我正在尝试跨networking(互联网)转发系统日志和事件日志。 Win Computer —-| (There will be multiples of these forwarding to a single source) Win Server ——| >> Internal Syslog Server >> || >> External Syslog Server >> Splunk Win Server ——| Win Router ——| 我想知道如何实现这一点(我可以把日志到内部系统日志服务器),但我的问题是确保所有来自内部服务器的日志保持可信,当他们得到splunk没有被看起来相同改变。 也可能需要encryption。 将有4-5个不同的内部系统日志服务器转发到这个外部源。 所以我的问题是,我是否与rsyslog,syslog-ng等去?还是我去VPN内部系统日志服务器通过VPN转发事件? 如果使用encryption/ TCP的系统日志转发更好,那么是否有可能/可行?