我们在中央系统日志服务器上使用syslog-ng(CentOS 5.9上的syslog-ng-2.1.4-9.el5)。 我们很高兴地使用syslogd和rsyslog从Linux和Solaris主机上通过UDP的混合发送日志,直到昨天终于明白我们正在失去大量的条目(是的,我应该注意到所有的警告)。 我试图改变使用TCP。 我很想(现在)坚持syslog-ng在中心和rsyslog发件人,我的理解是,这应该工作。 中央系统日志服务器有多个虚拟接口,用于按function分割日志集(这就是udp()和tcp()语句指定要绑定的IP地址的原因)。 我在syslog-ng一端启用了TCP侦听器(请参阅下面的configuration文件中提取的内容)–netstat -l显示端口514上的侦听器。作为testing,我在一台主机上更改了转发子句(CentOS 6.4 with rsyslog-5.8.10-6 .el6.x86_64)从@unixlog到@@ unixlog。 我看到数据包到达中央服务器并返回数据包(在unixlog上查看tcpdump),所以我认为我已经消除了iptables的问题,但输出文件中没有任何内容。 我只是试着关掉iptables一段时间来检查这个 – 同样的事情。 我还没有试过打开syslog-ng的debugging,因为这是一个繁忙的服务器 – 我的下一步可能是build立一个testingsyslog-ng服务器,并指向一个单一的主机。 在我这样做之前还有什么我应该看的? 我是否需要更改转发邮件的格式? 我对Syslog-ng 2.x文档的阅读表明,这应该没有任何改变。 我已经尝试更改rsyslog调用的兼容级别选项。 最初设置为5,我已经尝试了0 .. 4,并完全删除参数 – 行为没有差异。 Rsyslog.conf在发件人(注释和本地文件被删除)… $ModLoad imuxsock $ModLoad imklog $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat *.err;kern.debug;daemon.notice;mail.crit @unixlog.ncl.ac.uk local3.debug @cmdloghost.ncl.ac.uk 从unixlog上的rsyslog.conf中解压缩 options { long_hostnames(off); sync(0); create_dirs(yes); }; destination d_syslog { file("/var/log/incoming/syslogs/$HOST/syslog.$YEAR$MONTH$DAY.log"); }; # unixlog […]
首先,感谢花时间看看这个问题,非常感谢。 我已经有连接rsyslog.confconfiguration运行了一段时间,直到今天,当我不得不重新启动rsyslog随着磁盘越来越满。 结果是rsyslog现在正在以所有先前的权限(当前root | root rw被testing安全)logging到一个新的位置(在.conf文件中被解压缩)。 我面临的问题是,无论我尝试,rsyslog不输出文件。 我运行了一个tcpdump,而且还在接收数据。 匹配标准(主机IP地址)不应该有变化,configuration也没有改变。 任何帮助,特别是我可以运行的debugging命令将不胜感激。 我宁愿学习一些新的东西(比如rsyslog),而不是卸载它,只是使用syslog-ng来代替…这里是configuration: ### Modules $ModLoad imtcp $ModLoad imudp $ModLoad imuxsock # provides support for local system logging (eg via logger command) $ModLoad imklog # provides kernel logging support (previously done by rklogd) ### Set log file permissions $FileOwner root $FileGroup root $FileCreateMode 0777 $DirCreateMode 0777 $Umask […]
在Ubuntu 16.04.1上运行: rsyslogd 8.16.0, compiled with: PLATFORM: x86_64-pc-linux-gnu PLATFORM (lsb_release -d): FEATURE_REGEXP: Yes GSSAPI Kerberos 5 support: Yes FEATURE_DEBUG (debug build, slow code): No 32bit Atomic operations supported: Yes 64bit Atomic operations supported: Yes memory allocator: system default Runtime Instrumentation (slow code): No uuid support: Yes Number of Bits in RainerScript integers: 64 有: #rsyslogd […]
我想转发( rsyslog 8.4.2-1 )所有系统日志消息到127.0.0.1端口。 为了做到这一点,我在/etc/rsyslog.d/expose-42000.conf添加了一个文件: *.* @127.0.0.1:42000 重新启动rsyslog(日志中没有错误消息)后,我试图收听传入的消息: netcat -u 127.0.0.1 42000 尽pipe在/var/log/syslog显示了消息,但仍然没有输出。 为了确保文件确实包含在内,我在debugging模式下运行了rsyslogd,并且看到include发生了: # rsyslogd -dn (…) 8836.556859167:main thread : requested to include config file '/etc/rsyslog.d/expose-42000.conf' 8836.556895084:main thread : config parser: pushed file /etc/rsyslog.d/expose-42000.conf on top of stack Next token is token PRIFILT () Shifting token PRIFILT () Entering state 14 Reading a token: […]
我正在运行Ubuntu服务器10.04,我的auth.log不再得到更新。 实际上,我的auth.log是空的,一切都被logging到auth.log.1 ,与syslog,邮件和其他日志相同。 这是正常的一切要记入*.log.1 ? 到目前为止,logrotate每周都在旋转。 其次,任何想法为什么这可能会发生? 所有其他日志都很好,我有rsyslog的默认configuration。
使用rsyslog的旋转能力比标准/ sbin / logrotate有什么好处?
我正在寻找build立一个系统日志中继为了从我的客户端强制UDPstream到TCP。 具体来说,我想从中移除 client –UDP_PORT_999–> server1 至 client –UDP_PORT_999–> server1 –TCP_PORT_514–> server2 我在rssylog文档中发现如何设置远程(客户端和服务器)系统日志以及如何正确configuration故障转移 (如果server2不可用),但我不知道如何翻译“ 转发到server2只有消息来自远程客户端 “(或者,” 转发到服务器2只有来自UDP 999端口的消息 “)。 换句话说,我想保持server1上的本地系统日志处理,并简单地通过UDP代理通过UDP传出的消息。 我不虔诚地附加到rsyslog,所以如果有一个好的方法来设置(包括故障转移)在syslog-ng它将是完美的。 谢谢你的指点! WoJ PS。 我在rsyslog论坛上发布了这个问题,之后才意识到我可能会更好地发布我的问题:) 编辑: nxlog将是一个更好的解决scheme(见下面的答案和我的意见)
我在红帽服务器上的apache下有几个不同的django应用程序。 这些应用程序使用SysLogHandler将日志消息发送到本地rsyslog服务。 为了把日志消息从不同的django应用程序传递到不同的文件,我们使用syslogtag rsyslog tagging (基于syslogtag )。 以下是我们在/etc/rsyslog.conf : … $template myFormat,"%msg%\n" if $syslogfacility-text == 'local2' and $syslogtag == 'dev:' then /var/log/ap/dev/ws.log;myFormat if $syslogfacility-text == 'local2' and $syslogtag == 'rel:' then /var/log/ap/rel/ws.log;myFormat … 这样工作:如果日志消息是dev:Hello World! , Hello World! 写入/var/log/ap/dev/ws.log 。 一切都很好,直到昨天。 我们的系统从6.2升级到6.3。 根据yum history , 4.6.2-12从4.6.2-12更新为5.8.10-2版本。 debugging了一下之后,我发现$syslogtag == 'dev:'条件不适用于新的rsyslog版本。 $syslogtag现在吃一个消息的一部分,直到第一个空间,并包含dev:Hello而不是只是dev: $syslogtag 你能指点我该怎么做,如何使rsyslog正确parsing标签? (更改来自django应用程序的日志消息格式不是一个选项) 让我知道如果你需要任何额外的信息。 谢谢。
我如何设置rsyslog来logging在ssh会话中键入的命令? 以防有人擅自访问系统,我想知道他做了什么。
我在ubuntu服务器上安装了rsyslogd,启动它,一切都很正常,但是服务器应该监听的端口没有打开。 ubuntu@node7:~$ sudo service rsyslog restart rsyslog stop/waiting rsyslog start/running, process 14114 Netstat显示它不在监听: ubuntu@node7:~$ netstat -tlan Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 320 172.22.0.17:22 10.8.8.38:61335 ESTABLISHED tcp6 0 0 :::22 :::* LISTEN tcp6 0 0 :::2776 :::* LISTEN tcp6 […]