我试图testing一个使用ssl的rsyslog的设置。 我(可能是错误的) – 理解如果我使用sslstream量的starttls,我应该能够接收ssl和纯系统日志stream量在同一个tcp端口作为ssl会话协商,如果需要的话。 不过,我有一个testing平台的系统日志客户端和testing平台ssl系统日志客户端,但我无法做到这一点。 我可以根据$ InputTCPServerDriverMode为0或1的设置获取stream量,但不能同时设置。 所以我真的问:这甚至可能吗? 如果是这样,什么是rsyslogconfiguration语法来实现它? 我明白,rsyslog可以与starttls,但现在我开始怀疑它。 目前服务器configuration看起来有点像这样: $ ModLoad imuxsock $ ModLoad imklog $ ModLoad imtcp.so $ DefaultNetstreamDriver gtls $ DefaultNetstreamDriverCAFile /root/syslog-ca-cert.crt $ DefaultNetstreamDriverCertFile /root/syslog-server-cert.crt $ DefaultNetstreamDriverKeyFile /root/syslog-server-key.key $ InputTCPServerStreamDriverMode 1 $ InputTCPServerStreamDriverAuthMode x509 / certvalid $ InputTCPServerRun 514
我使用以下iptables规则logging所有丢弃的数据包: -A INPUT -j LOG –log-prefix "FW_DROP: " –log-level 7 然后在rsyslog.conf中,我把这个输出redirect到一个单独的文件,这样我的系统日志就不会被洪泛 :msg, contains, "FW_DROP" -/var/log/firewall.log & ~ 这对于syslog是有效的,但是我的dmesg仍然充斥着fw消息,这让我疯狂。 谁会知道如何防止这种情况?
有没有办法链接系统日志转发? 例如,客户端主机如何将其系统日志转发到ServerA和ServerA将所有内容转发到CentralSyslogServer? 我正在使用rsyslog。 原因是服务器A是一个双机主机,从其他主机获取日志,这些主机应该都存储在CentralSyslogServer中。 目前CentralSyslogServer似乎只能得到ServerA的本地日志,但没有任何从客户端主机转发到ServerA。 解决: 我必须编辑/ etc / sysconfig / syslog并将-h添加到SYSLOGD_OPTIONS 我的错误 – serverA正在使用syslogd
我正在运行Ubuntu和Postgresql 9。 我已经启用postgresqllogin到系统日志,并添加以下指令到configuration文件: syslog_facility = 'local0'". 我已经尝试configuration系统日志logging到一个单独的文件,但提交。 我更新了/etc/syslog.conf,使其包含(请参阅postgresql-directive的最后一行) auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog daemon.* -/var/log/daemon.log kern.* -/var/log/kern.log lpr.* -/var/log/lpr.log mail.* -/var/log/mail.log user.* -/var/log/user.log mail.info -/var/log/mail.info mail.warn -/var/log/mail.warn mail.err /var/log/mail.err news.crit /var/log/news/news.crit news.err /var/log/news/news.err news.notice -/var/log/news/news.notice *.=debug;\ auth,authpriv.none;\ news.none;mail.none -/var/log/debug *.=info;*.=notice;*.=warn;\ auth,authpriv.none;\ cron,daemon.none;\ mail,news.none -/var/log/messages *.emerg * daemon.*;mail.*;\ news.err;\ *.=debug;*.=info;\ *.=notice;*.=warn |/dev/xconsole local0.* -/var/log/pgsql 我用“/etc/init.d/sysklogd restart”和“restart rsyslog”重新启动了系统日志。 […]
我遇到了这个Debian Linux安装(6.0.6),并检查其/etc/rsyslog.conf,我看到像这样的configuration行: auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog 我在rsyslog.conf(5)中的文件操作中找不到任何有关破折号的内容,以及它的含义可能是什么,并且想知道它们实际上做了什么。
我已经通过在/etc/syslog.conf取消注释下面的行来将我的crontab日志logging分隔到/var/log/cron.log中,但是它仍然写入到/var/log/syslog ! cron.* /var/log/cron.log 我怎样才能防止它写入/var/log/syslog ?
几乎每个指南,我已经看到与rsyslog使用TLS涉及生成一个自签名的证书,并使用它。 如果这些盒子已经设置了合法的签名证书,你如何设置客户端和服务器来简单地使用它?
我最近将其中一台服务器设置为rsyslog服务器。 我现在有我们的防火墙设置来logging所有的rsyslog服务器。 但似乎没有一个日志的组织。 所有的防火墙日志都被转储到rsyslog服务器上的/ var / log / messages中。 我想我可能期望他们至less是在一台机器特定的日志文件或目录。 我如何组织input日志? 如果我设置了20台服务器将所有日志logging到一台中央rsyslog服务器,我真的不希望所有的东西都被转储到一个大文件或几个文件中。 我如何设置rsyslog来告诉它在哪里login什么? 就像一个特定服务器的所有日志都在它自己的目录/文件中,等等…这是可能的吗?
我无法将rsyslog写入位于/ var / log以外的目录中的日志文件。 服务器是RHELS 5.6,大部分是默认configuration。 除了rsyslog特定的更改(添加到iptables的规则等) 如果我在/etc/rsyslog.conf中指定了以下内容,那么这很有效: local6.* /var/log/MyLog.log 但是,如果我要在/Testing/MyLog.log上的chmod -R 777位置创build一个日志文件,那么它不起作用,然后将configuration更新为: local6.* /Testing/MyLog.log 我很困惑,因为我设置/Testing/MyLog.log(和目录)与chown和chmod具有相同的用户:组和权限作为日志/var/log/MyLog.log(根据输出ls -la )。 我究竟做错了什么? 这甚至有可能吗? 我甚至尝试在/ var / log中做一个符号链接,我试过似乎没有任何工作。 我玩过rsyslog网站上logging的各种configuration选项。
在Ubuntu上使用rsyslog.conf – 50-default.conf中/ var / log / messages的默认行是: *.*;auth,authpriv.none -/var/log/syslog 我开始在本地7级login很多东西 – 像这样一行: local7.* /my/file/name 所有的local7消息都显示在/ var / log / syslog中,这当然不是我想要的。 我不能指望filter语法删除它们…