我能够发送Snort警报到我的远程系统日志服务器,但我无法看到完整的警报消息; 我只看到标题,来源和目标IP等基本信息。 我特别感兴趣的是接收XREF(CVE,bugtraq等)字段。 我正在启动syslog as- snort -c /etc/snort/snort.conf 有没有人能够做到这一点?
我在EC2上运行Ubuntu 12.04.1 LTS。 我有一堆应用程序服务器被configuration为通过rsyslog将其日志转发到中央服务器。 由于对中央服务器上的日志文件进行了Nagios监视,因此我收到警报,指出特定应用程序服务器无法将日志转发到中央服务器。 login到计算机并重新启动rsyslog服务可以解决问题。 但是,rsyslog会再次重新传输日志,导致收集器上出现重复。 为什么这样做?
要旨 rsyslog在哪里得到%HOSTNAME%的值,在什么情况下,“未知”是期望值? 我们在EC2实例上使用rsyslog,并试图将我们的日志发送到loggly。 如果我tail -f日志消息,我可以看到默认格式的日志,包括date,主机名,标记和消息。 如果我使用logger "message"那么我在控制台和loggly中看到正确的日志条目。 但是,如果Java控制台应用程序logging事件,则控制台和loggly中的主机名均为“未知”。 奇怪的是,如果rsyslog和log4j的configuration来自tomcat托pipe的Web应用程序,则它们的configuration正确。 我知道一些这是非常具体的Java,但我的问题是这样的:rsyslog得到%HOSTNAME%的价值,在什么情况下,“未知”是期望值?
我正在将(r)syslog服务器configuration为从各种客户端接收日志的远程服务器。 我想知道是否有一个更好的方法来dynamic生成多个文件名,而不是创build一个模板的任何facility.priority其文件名应该dynamic创build。 $template FILENAME,"/var/log/%fromhost-ip%/syslog.log" kern.* ?FILENAME 除此之外,我是否必须明确地告诉服务/守护进程使用TCP以便通过使用(r)syslogd的TCP进行日志logging? 就像当我closures服务器接收UDP数据包的能力时,它会停止logging任何东西。 或者换个说法: kern.* @loghost 不起作用。
我正在从一个专有的应用程序系统日志事件。 这可能是应用程序的错误,也可能是rsyslogd。 事件是这样写的: Aug 15 16:00:00 10.11.12.13 Event1 from this wonderful product using this odd Aug 15 16:01:00 10.11.12.13 format. Event2 from this wonderful product using Aug 15 16:02:00 10.11.12.13 this odd format. Event3 from this wonderful produ Aug 15 16:03:00 10.11.12.13 ct using this odd format. 你得到的照片。 系统日志中的每个logging是〜2000个字符。 我不确定这是TCP系统日志定义不清的问题吗? rsyslogd或syslog TCP上的任何专家是否有任何关于问题出现的build议? 是否有可能在rsyslogd方面可以解决这个问题? 或者这是TCP系统日志状态的正常混乱?
我试图使用https://github.com/gliderlabs/logspout,所以我可以在一个地方看到我的容器中的所有日志。 我需要rsyslog来侦听端口514上的UDP套接字。我没有在/etc/rsyslog.conf中提交$ ModLoad imudp和$ UDPServerRun 514,并重新启动了rsyslog。 为了testing它,我运行logger -d -n 192.168.1.121 –port 514“hello”,但是我什么都看不到。 IP是我的笔记本电脑IP。 这是configurationrsyslog的正确方法,这是testing它的正确方法吗? 我在Ubuntu 14.10(笔记本电脑) 谢谢!
根据这个文件: http : //www.squid-cache.org/Doc/config/access_log/ 鱿鱼应该能够使用以下指令login到rsyslog: access_log syslog:daemon.info squid cache_log syslog:daemon.info squid 但是,当我尝试重新启动它时,我得到: WARNING: Cannot write log file: syslog:daemon.info syslog:daemon.info: Permission denied messages will be sent to 'stderr'. 我已经尝试了local0-local7的所有设施,它也说了同样的事情。 看来rsyslog是不允许login到它的鱿鱼。 Squid与代理用户一起运行。 任何想法如何解决这个问题?
我试图在Debian机器上使用rsyslog将日志数据发送到外部服务器。 我感兴趣的日志文件大约有10GB的历史数据。 当我开始configurationrsyslog时,我的印象是要开始把所有新的日志条目发送到服务器,但是目标服务器的维护者告诉我发送了超过10GB的数据。 我重新启动rsyslogd几次。 我想知道,如果默认情况下,它从一开始就发送所有日志而不是新的? 这是我的configuration文件的样子 $ModLoad imfile $InputFilePollInterval 10 $PrivDropToGroup adm $WorkDirectory /var/spool/rsyslog #################### # Nginx Access Log # #################### # Input for Nginx Access Log $InputFileName /var/log/nginx/myapp.access.log $InputFileTag nginx-access $InputFileStateFile stat-nginx-access #this must be unique for each file being polled $InputFileSeverity info $InputFilePersistStateInterval 20000 $InputRunFileMonitor # Add a tag for file events $template […]
我有一个偷偷摸摸的怀疑,它与我的rsyslog.conf有关,但我不是100%确定的。 我正在运行Centos 7,而SELinux一直在运行A-OK。 不过,我试图按照这些说明 ,SELinux并没有否认。 我做了以下几点: useradd fnord echo "fnord:user_u:s0-s0:c0.c1023" >> /etc/selinux/targeted/seusers setsebool user_exec_content off sudo su – fnord cp /bin/ls /tmp /tmp/ls /tmp/ls命令工作得很好。 我尝试了和没有-P标志,但它没有任何区别。 我试图触发一些SELinux日志消息,因为无论我做什么,/ /var/audit/audit.log都是空的。 我知道SELinux是强制执行的,因为rsyslog被设置为将某些日志发送到/company/var/log/ ,但这些日志不会被写入。 如果我将SELinux更改为宽容,而不是强制它们被写入。 但是没有东西写到/var/audit/audit.log了。 它绝对用于 – 我有audit.log.1和其他翻转文件。 我最初以为它可能是/etc/rsyslog.d/listen.conf ,我已经将$SystemLogSocketName /run/systemd/journal/syslog的内容更改为$SystemLogSocketName /dev/log但我已经将其更改回重新启动rsyslog。 在audit.log仍然没有任何显示。 我怎么能发现为什么这不logging正确?
我们的日志从我们的应用程序发送到在同一主机上运行的rsyslog。 然后Rsyslog将消息转发给Sumo Logic。 我们需要在结构化数据字段中添加一些元数据到我们的日志消息中。 我们的一些应用程序已经使用结构化数据,所以我们不能简单地replace模板中的结构化数据属性。 另外,%STRUCTURED-DATA%属性包含了开始和结束括号,所以我们不能只在模板中join类似[%STRUCTURED-DATA% newmetadata]的东西。 根据财产替代文件 ,我们的select是使用FromChar和ToChar或正则expression式。 我查了一下资料来源,证实ToChar不能倒数。 我使用rsyslog正则expression式工具来创build以下模板: template(name="metadata_syslog" type="string" string="<%PRI%>1 %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% [%STRUCTURED-DATA:R,ERE,1,FIELD:\[([^]]*)\]–end% extrafield=value] %msg%\n") 从以下示例事件 <142>1 2016-03-31T17:30:20.007Z some.host.name service/prod/app/foo_v2 – Audit [mdc@xxxxx category="io.service.segment.IndexIO$DefaultIndexIOHandler" thread="foo_v2-incremental-persist"] Processing file[dim_device.drd] 正则expression式工具正确地parsing出没有括号的结构化数据。 当我在rsyslog中使用这个模板时,我得到关于%PRI%部分(debugging输出)的语法错误: Reading a token: 9936.286569660:main thread : Called LogMsg, msg: error during parsing file /etc/rsyslog.d/21-logging.conf, on or before line 4: […]