我想从rsyslog输出消息写入到一个Unix域套接字。 我想这样做,以便我可以使用我的脚本从该套接字读取消息,并进一步parsing日志消息。 我尝试使用omuxsock但它没有创build任何套接字。 这是可能的,如果,我如何正确configurationrsyslog写入套接字? 编辑: 这是我在/etc/rsyslog.conf编辑的 $ModLoad omuxsock $OMUxSockSocket /tmp/sock *.* :omuxsock:
我试图通过VPN将rsyslog从客户端转发到服务器。 我已经通过互联网链接工作(通过eth0到边缘路由器),但希望它通过穿过同一链接的OpenVPN隧道。 我已经在/etc/rsyslog.conf文件中的这些指令之间进行了/etc/rsyslog.conf : *.* @@50.116.xx:6514 *.* @@172.31.0.1:6514 我一直在使用tcpdump port 6514 -nA检查数据包,而对于指令1,我可以看到所有的syslog数据包出去了,[在服务器上]进来。执行命令telnet 50.116.xx 6514从客户端确认telnet 50.116.xx 6514是听着。 但是,当我交换指令1的指令2我什么都看不到在任何一方tcpdump打印出来。 从客户端运行telnet 172.31.0.1 6514确认rsyslog正在监听这个地址。 我在客户端上运行了rsyslog -f/etc/rsyslog.conf -c3 -d ,看不到任何明显的问题: 7144.035145795:b75f5b20: cfline: '*.* @@172.31.0.1:6514' 7144.035176137:b75f5b20: – traditional PRI filter 7144.035191209:b75f5b20: symbolic name: * ==> 255 …snip… 7144.040606069:b75f5b20: rule 0x84deb90: rsyslog rule: 7144.040629321:b75f5b20: FF FF FF FF FF FF FF FF […]
是否有可能有主机名fqdn里面的debian日志文件? 例: 现在它的: 3月2日18:00:12 www rsyslogd:[origin software =“rsyslogd”swVersion =“5.8.11”x-pid =“2442”x-info =“http://www.rsyslog.com”]开始 应该是: Mar 2 18:00:12 www.example.org rsyslogd:[origin software =“rsyslogd”swVersion =“5.8.11”x-pid =“2442”x-info =“http://www.rsyslog .com“]开始 先谢谢了!
我有一个系统日志服务器,根据主机名分隔日志信息。 它可以分离消息,如果它在“local1”设施。 我有一个邮件服务器,发送邮件到'邮件'设施。 我想将这些消息转发到“local1”,保留主机上的原始邮件。*日志,然后将其发送到系统日志服务器。 有什么(简单)的方法可以将邮件复制到“local1”设施? 谢谢! 编辑: 我能想到的只是调用这样的命令(虽然由于某种原因,这是行不通的) $template LoggerTempl," -p local1.%SYSLOGSEVERITY-TEXT% -t %SYSLOGTAG% \"%TIMESTAMP% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\"" mail.* ^/usr/bin/logger;LoggerTempl
我的服务器上有一个Ruby应用程序,我们称之为“alpha”。 应用程序发出系统日志消息,程序名称为“alpha”。 我想根据它是什么types的消息将我的日志消息分成单独的文件,例如“auth”消息(login)或系统资源警告。 我没有任何方式指定“消息types”syslog除了我的程序名称,所以我只是在我的消息开始时添加“AUTH:”,“SYSTEM:”等。 使用谷歌和手册页,我已经提出了这些条件: :programname,isequal,"alpha" /var/log/alpha.log 这将所有来自“alpha”应用程序的消息logging到正确的日志文件中。 :msg,startswith," AUTH:" /var/log/alpha-auth.log 这将以“AUTH:”开头的所有消息logging到正确的日志文件中。 显然,最后一个条件不仅适用于“alpha”,而且适用于所有的消息。 我想将这些条件结合到一个表示“从AUTH开始的所有来自alpha的消息:…”。 是否有可能将滤波器与“和”结合起来? “BSD风格块”似乎是完美的,因为我可以为我的应用程序定义一个块,所有条件只适用于来自该应用程序的消息。 不幸的是, 根据文档,该function不再支持 (不build议使用?),我不想依赖于不推荐使用的function。 rsyslog v7 +引入了这种块的替代scheme吗? 使用基于expression式的filter,我已经设法得到我想要的结果,但我觉得我正在用一个火箭筒杀死一只苍蝇: if $programname == "alpha" and $msg startswith " AUTH:" then \ /var/log/alpha-auth.log 什么是“正确”(即最简单,最不容易出错)的方式来做到这一点? 我正在使用Debian Jessie,目前的意思是rsyslog 8.4.2
试图通过syslog只转发我审计的事件,但我不知道使用哪个设施。 我不想把所有东西都发送到我的系统日志服务器,因为它会在日志中创build冗余。 我已经将audispd syslog插件设置为活动状态,并且据我所知,应该使auditd使用syslog来logging事件。 现在我所要做的就是为auditd的事件设置正确的工具,以转发到我的日志logging服务器。 请让我知道,如果我错了如何做到这一点。 *我正在CentOS 7上试一试
我正在使用rsyslog来收集nginx日志。 所有看起来都不错,只是用'#011'文字replace一般的标签。 用'\ t'分隔符定义的Nginx日志格式。 损坏的输出示例: 217.118.93.88#0111473674833.412#0114418687#011… 它应该看起来如何: 217.118.93.88 1473674833.412 4418687 … 为什么会发生这种情况,以及如何禁用这种replace? 谢谢!
我们目前正在设置一些主机,通过omelasticsearch和omelasticsearch将其日志omelasticsearch到omelasticsearch集群。 omelasticsearch手册似乎只允许configurationES群集的一个服务器名称,这将是单点故障。 如何将日志loggingconfiguration为login到ES群集的任何节点,而不仅仅是一个,这样可以抵抗一个节点的故障? 目前我们已经为ES集群configuration了一个共享的IP地址,并将其用作服务器名称(这是可行的)。 omelasticsearch可以使用多个主机吗?
我有以下pipe道: nginx -> unix_socket -> rsyslog -> omkafka module -> kafka 对于omkafka我使用以下configuration: module( load="impstats" interval="10" # how often to generate stats resetCounters="on" # to get deltas (eg # of messages submitted in the last 10 seconds) log.file="/var/log/impstats" # file to write those stats to log.syslog="off" # don't send stats through the normal processing pipeline. More […]
我想从一个自定义的日志文件( /home/ubuntu/test.log )转发匹配一个模式的消息(这里是HELLO )到远程/home/ubuntu/test.log服务器。 这是configuration: # cat /etc/rsyslog.d/05-forwarding.conf *.* @@rsyslogserver.mycompany.com:10514 # cat /etc/rsyslog.d/10-custom.conf $ModLoad imfile $InputFilePollInterval 1 $InputFileName /home/ubuntu/test.log $InputFileTag testlogs: $InputFileStateFile testlogs $InputRunFileMonitor :msg, contains, "HELLO" /var/log/testlog_error.log & stop :msg, !contains, "HELLO" stop 问题: 所有发送到/var/log/syslog都已停止。 “ 不好 在/home/ubuntu/test.log中包含HELLO字词的消息将转到/var/log/testlog_error.log以及正在转发到远程rsyslog服务器,“ GOOD /home/ubuntu/test.log中不包含HELLO字词的消息不会进入/var/log/testlog_error.log这是很好,但这些消息正在转发到远程rsyslog服务器。 “ 不好 我的理想状况应该是: 系统和所有其他消息应继续到/var/log/syslog 这里没有改变。 这是按预期工作。 /home/ubuntu/test.log 不包含HELLO单词的/home/ubuntu/test.log应完全丢弃。 不要写入本地文件,也不要将这些消息转发到远程服务器。 需要帮助我解决上面的第1点和第3点。