Articles of rsyslog现在

我想从所有桌面客户端将Windows事件日志转发到rsyslog的Linux框。 Rsyslog提供了一个Windows代理来做到这一点，但是每个许可40欧元，并且当你有x个成本加起来的机器时。 我想知道是否有一个FOSS的替代品我试图search谷歌，但没有设法find任何东西。 希望有人可能已经面临同样的问题，并正在使用他们可以推荐的替代scheme。

我试图设置stunnel来encryptionrsyslog（使用relp协议）的stream量，但每当我尝试启动stunnel并将日志发送到远程服务器，我得到以下内容： Remote socket (FD=13) closed Feb 15 01:25:55 ruby stunnel: LOG7[26750:140598316271360]: Local socket (FD=3) closed Feb 15 01:25:55 ruby stunnel: LOG7[26750:140598316271360]: Service [ssyslog] finished (0 left) Feb 15 01:25:55 ruby stunnel: LOG7[26750:140598316320512]: Service [ssyslog] accepted (FD=3) from 127.0.0.1:42481 Feb 15 01:25:55 ruby stunnel: LOG7[26750:140598316271360]: Service [ssyslog] started Feb 15 01:25:55 ruby stunnel: LOG7[26750:140598316271360]: Waiting for […]

我很好奇别人发现什么是最有用的* nix日志分析工具。 目前我只是简单地拖尾输出，但是我想使用一些function更全面的东西。 在这种情况下，我正在监视Unicorn Web服务器日志以及从本地rsyslog服务器上收集的分段和生产服务器的应用程序输出到单独的文件中。 我已经通过了回购协议中的各种日志匹配，列表显然是相当冗长和广泛的，因此我希望你可以分享你曾经使用过的gem，或者意识到这个优点值得特别关注。

我使用rsyslog从haproxy获取日志，并将它们放入logstash for elasticsearch / kibana。 一切工作正常，但我在rsyslog中发现了一些奇怪的东西。 我发现我在kibana中缺less数据。 原因是rsyslog。 磁盘上的队列被保留并停留了几天 所以我周末都没有数据，但昨天和今天 – 一切正常。 Rsyslog现在获取数据并将它们放在logstash中，但他似乎忘记了存储在自己队列中的数据（我认为他看到它们已经老了，忽略它们有参数，也许使用了一些默认值）？ 现在，logstash是空闲的，我可以强迫他rsyslog队列中的许多额外的数据 所以我想要做的是： 暂时尝试冲洗这个队列（如后缀冲洗），或者如果这是不可能的，我该怎么办？ 我的rsyslogconfiguration是： $ActionSendTCPRebindInterval 500 $ActionQueueType LinkedList $ActionQueueFileName kibana $ActionQueueMaxFileSize 100m $ActionQueueMaxDiskSpace 100g $ActionQueueTimeoutEnqueue 0 $ActionResumeRetryCount -1 $ActionQueueSaveOnShutdown on

我最近把所有的实验室服务器从apache pre_fork / mod_php切换到了apache worker / fcgi / php-fpm，并且在正确设置了一切后，我注意到了最后一个问题。 php-fpm将它自己的日志logging“标题”添加到php错误日志中。 所以这（php-fpm添加它自己的头）： Sep 21 22:01:50 dev-a-1 php-fpm: pool www: 2014-09-21@22:01:50 dev-a-1.sn1.j1n.us DEBUG(7): VB9KzAoAAAQAAFGbEuQAAAAQ: Hobis_Api_Bootstrap initalized (should only happen once) 应该看起来像这样（使用mod_php的日志条目的一个例子）： 2014-09-21@22:01:50 dev-a-1.sn1.j1n.us DEBUG(7): VB9KzAoAAAQAAFGbEuQAAAAQ: Hobis_Api_Bootstrap initalized (should only happen once) 因为我将所有日志logging到系统日志，并在那里过滤，所以我可以添加一个正则expression式： .*(pool www:) 但我希望有一个更优雅的解决scheme。 有没有一个configuration选项，我可以设置，所以php-fpm只是直传？ 我试着将catch_workers_output设置为yes，但是没有帮助。

有一些答案，build议改变这一点： *.*;auth,authpriv.none -/var/log/syslog #cron.* -/var/log/cron.log 进入这个： *.*;cron,auth,authpriv.none -/var/log/syslog cron.* -/var/log/cron.log 这是有效的，但是它需要以相当精确的方式编辑第一行，当您想要自动configuration时会造成复杂化。 是的，这是可以使用sed或Salt file.replace状态，但是我想通过附加/预先挂接rsyslog.conf文件来实现，甚至更好 – 通过创build/etc/rsyslog.d/(00|99)-my-cron-log.conf ，使其更健壮和分布无关，但我不遵循rsyslog.confconfiguration逻辑足以使其工作。 除了使用上面的例子，我不能从syslog.log中删除“CRON”行。 是否有可能禁用cronlogin到syslog.log而无需修改包维护者configuration行？

我在我的服务器上configuration了rsyslog来login到远程mysql数据库。 我主要通过遵循rsyslog维基来实现这一点，它本质上创build了两个表： mysql> show tables; +————————+ | Tables_in_Syslog | +————————+ | SystemEvents | | SystemEventsProperties | +————————+ 2 rows in set (0.00 sec) 第一个表， SystemEvents非常简单。 这就是我的服务器日志结束了，我有它的工作正常 – 我的日志显示在数据库中就好了。 但是，没有任何东西被插入到SystemEventsProperties表中（或者到目前为止），所以我试图弄清楚表是什么表，如果我能以某种方式利用它，以我的优势。 如果有帮助，下面是describe SystemEventsProperties; 说明： mysql> describe SystemEventsProperties; +—————+——————+——+—–+———+—————-+ | Field | Type | Null | Key | Default | Extra | +—————+——————+——+—–+———+—————-+ | ID | int(10) unsigned […]

我正在尝试使用带有rsyslogd的系统调用二进制文件的SELinux： # rsyslog configuration file module(load="omprog") template( name="snmp_template" type="string" string="%msg%\007" ) if ( $msg contains "SFCS_EVENT: " ) then action( type="omprog" binary="/usr/libexec/redacted/send_snmp" template="snmp_template" ) send_snmp程序使用从rsyslogdinheritance的typessyslog_t运行。 这是它需要运行的权限： audit2allow -a /var/log/audit/audit.log #============= syslogd_t ============== allow syslogd_t security_t:security compute_av; allow syslogd_t self:capability audit_write; allow syslogd_t self:netlink_selinux_socket { bind create }; allow syslogd_t self:passwd passwd; allow syslogd_t snmpd_var_lib_t:dir { […]

我需要将Nginx访问和错误日​​志redirect到远程系统日志服务器。 从http://nginx.org/en/docs/syslog.html我看到我可以这样做： error_log syslog:server=192.168.1.1; 不过，我需要redirect到一个特定的TCP（而不是UDP！）端口，我试着： error_log syslog:server=192.168.1.1:3000; 但是没有通过。 如何指定Nginx的端口应该是TCP而不是UDP？ 非常感谢！

我有一台带有本地rsyslogd的机器“A”，另一台远程收集器机器“B”正在使用自己的syslog守护进程和日志处理引擎进行侦听。 这一切都很好…除了在A上有一个进程logginglocal0.notice，这是B的引擎无法处理的东西。 我想要做的是在将事件发送到B之前将local0.notice重写为local5.info。不幸的是，我不能更改B，也无法更改login过程的方式A.我也不能升级A从v7.6到v8（似乎有一些非常有用的function，如mmexternal，这可能有所帮助）rsyslogd。 我想我一定是错过了一些明显的东西，我不能成为第一个需要这种function的人。 基本上，它归结为寻找某种方式通过rsyslog两次之间的filter：一旦进程logging，通过filter更改prio，然后再转发它。 我试过了： configurationrsyslog将local0.noticelogging到一个文件中，然后用一个imfile指令读取该文件，并为其设置新的fac / sev，然后是一个if语句，查找标签并调用omfwd操作。 我想也许我可以说服rsyslog写在正确的prio文件，然后rsyslog回来，自然而然地拿起它。 可悲的是，没有骰子。 加载一个调用logging器的omprog模块-p local5.info如果syslogfacility-text =='local0'，那么在那里停止处理…然后让另一个configuration元素检查syslogfacility-text =='local5'，如果是的话调用一个omfwd行动。 奇怪的是，这个工程，但不压缩原来的消息，现在我只是得到两套日志被转发到B，一个local0和一个local5。 那里有解决scheme吗？