我目前正在让所有的各种服务器把系统日志消息发送到中央服务器。 我想要在中央服务器上有以下目录结构的日志发送到。 <root_dir>/<server_name>/<year>/<month>/<day>/{messages, mail, auth, etc}.log 这是我可以单独与rsyslog模板做什么,或者我需要使用另一个实用程序将文件移动到正确的文件位置?
我目前正在试图从kern.log中将一些IPTableslogging分成一个名为iptables.log的文件。 基本上,我有几个不同的适配器,我logging每个端口80的请求。 这些规则正在工作,输出到kern.log罚款。 这是一个例子: -A INPUT -d 192.168.100.10 -p tcp -m tcp –dport 80 -j LOG –log-prefix "[10010] REQUEST Port 80: " –log-level 7 我做了以下尝试分离出我想要的: 在/ var / log中创build了一个具有644权限的iptables.log文件 在/etc/rsyslog.d/创build一个iptables.conf文件,其内容如下:msg,contains,"[10010] REQUEST Port 80: " -/var/log/iptables.log 编辑/etc/rsyslog.conf以包含以下行: kern.debug /var/log/iptables.log 重新启动rsyslog: service rsyslog restart 尽pipe如此,我的“[10010]”东西仍然被写入到kern.log文件而不是iptables.log中。 任何帮助这个问题将不胜感激。
现有的答案都没有帮助,所以这里有一个新的问题。 用例 :redirectsyslog(或)监视静态文件。 我已经成功安装logstash(1.4.2),elasticsearch(1.1.1)和kibana(3.0.1),但努力摆脱错误 No results There were no results because no indices were found that match your selected time span 我可以访问http://example.com:9200 – >成功200邮件 访问http://example.com:9200/_aliases?pretty – > {} – >空字典! CLI /opt/logstash/bin/logstash -f </etc/logstash/conf.d/10-syslog.conf> 使用的示例logstash文件如下所示。 请让我知道,如果有什么需要从我的结束。 syslog(监听端口9000,是的,我已经添加了“@@ localhost:9000”到/etc/rsyslog.d/50-default.conf并重新启动rsyslog) sudo cat > /etc/logstash/conf.d/10-syslog.conf <<EOF input { tcp { port => 9000 type => syslog } udp […]
我有两台服务器和一台办公室NAS,我希望这两台服务器能够转储他们的日志。 只有一台服务器成功login到NAS。 其他服务器继续在/ var / log / messages中生成此错误消息: May 16 09:01:01 elmer rsyslogd-2068: could not load module '/usr/lib64/rsyslog/lmnsd_gtls.so', rsyslog error -2078 [try http://www.rsyslog.com/e/2068 ] 两台服务器都运行CentOS 7(4.0.2-x86_64),两台服务器都安装了rsyslog-gnutls,其中有一个小例外(见下文): Installed Packages Name : rsyslog-gnutls Arch : x86_64 Version : 7.4.7 Release : 7.el7_0 Size : 33 k Repo : installed From repo : updates Summary : TLS protocol […]
我有多个apache2 web服务器的消息logging到rsyslog服务器。 我使用了一个模板,根据服务器的IP地址,将每个/var/log/syslog文件分隔到自己的文件夹中 从我的rsyslog服务器 #/etc/rsyslog.conf $template FILENAME,"/var/log/%fromhost-ip%/syslog.log" 后来,我决定添加更多的日志到日志。 从我的一个Web服务器 #/etc/rsyslog.conf $ModLoad imfile $InputFileName /var/log/customFile.log $InputFileTag custom-log $InputFileStateFile myfile $InputFileSeverity info $InputFileFacility local3 $InputFilePollInterval 1 $InputFilePersistStateInterval 1 $InputRunFileMonitor local3.* @@192.168.1.20:514 现在,正如所料,来自/var/log/customFile.log的日志将进入/var/log/customFile.log中的rsyslog服务器。 我想要发生的事情还有这些日志去一个单独的文件。 所以,在我的rsyslog服务器上,我希望我的/var/log/192.168.1.x/目录仍然有一个syslog.log文件,包含来自该服务器的所有日志,但也有一个customLog.log文件只是来自/var/log/customFile.log的imfile信息的日志 有什么办法可以在rsyslog服务器上分离出来吗?
我有rsyslog设置正确转发一组客户端上的所有日志到中央服务器。 像sshauthentication日志等工作正常,并出现在远程服务器正常。 问题是,我有我的应用程序定制新贵的作业login到/var/log/upstart/app-name.log,我不知道如何获得rsyslog发送到中央服务器的东西。 我监视了networkingstream量,并且日志行甚至没有发送,所以这不是接收服务器有某种filter的问题,客户端甚至不尝试。 有任何想法吗? 我在新贵中使用标准console log节(尽pipe它在现代ubuntu中是默认的)。 我的客户rsyslogconfiguration是香草,除了: #send to logging server *.* @10.0.0.74:514 它位于默认文件的顶部,适用于所有标准日志事件。 有什么想法吗?
我使用rsyslog服务器来保存各种服务器的日志。 最近我在rsyslog中添加了20台服务器,之后rsyslog频繁挂起服务(服务重启之前没有收到日志)。 我观察内存使用情况,当内存达到456MB,然后挂起。 我怎样才能摆脱这个问题。 Rsyslog服务器有16 GB RAM,使用不超过2 GB。 你好, 感谢您的快速回复,请find您需要的日志。 sudo cat / var / log / messages | grep rsyslog [root @ rsyslog〜]#cat / var / log / messages | grep rsyslog Sep 4 23:38:54 rsyslog rsyslogd: – MARK – Sep 5 11:25:08 rsyslog rsyslogd: – MARK – Sep 5 15:50:12 rsyslog kernel:imklog 5.8.10,log […]
我正在接收.log文件中的syslog数据。 该文件包含两种types的事件。 只包含syslogdate时间标记的事件和包含syslogdate时间标记的事件以及消息中的“timestamp =”字段。 使用规则,如何将包含“timestamp =”的任何事件拆分为单独的文件?
我有rsyslog安装,我正在听设备的日志stream。 我遇到的问题是,在我开始保存设备自己的日志行之前,会生成一些对应于rsyslog本身的行。 有人可以告诉我如何避免存储rsyslog这些日志行请。 2017-10-24T10:06:34.154576+02:00 server01 systemd: Stopping System Logging Service… 2017-10-24T10:06:34.162868+02:00 server01 rsyslogd: [origin software="rsyslogd" swVersion="8.24.0" x-pid="20241" x-info="http://www.rsyslog.com"] exiting on signal 15. 2017-10-24T10:06:34.220188+02:00 server01 systemd: Stopped System Logging Service. 2017-10-24T10:07:25.999915+02:00 server01 systemd: Starting System Logging Service… 目前在configuration文件中,我已经尝试过这个数据,但它仍然存储我不感兴趣的rsyslog行。 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514 *.info;mail.none;auth.none;authpriv.none;cron.none;local0.none;kern.none action(type="omfile" file="/var/log/mylogs")
场景:我正在运行一组机器。 每台机器运行各种独特的Python程序(跨群集),但dynamic设置ID。 现在,他们都在本地进行日志logging。 所以,我可能有这样的日志: process_5.log process_6.log 对于ID为5和6的进程。 另一台机器可能有: process_20.log process_25.log 我希望将这些日志转发到运行rsyslogd的日志服务器。 Python的日志logging工具有一个很好的系统日志处理程序,所以我知道如何连接到远程服务器。 我没有想到的是如何使用模板/ DynFile保持日志分离。 例如在日志服务器上,我会想看到: process_5.log process_6.log process_20.log process_25.log 它们对应于发送机器上同名的日志。 有没有办法使用rsyslogd模板来解决这个问题?