我正在尝试使用logging器将事件发送到远程系统日志服务器。 系统日志服务器是运行默认rsyslogd的Ubuntu 12.04。 “客户”服务器都是Ubuntu 12.04和SLES11SP1。 在SLES11上,我可以将事件成功发送到系统日志服务器。 Tcpdump显示它们成功地从SLES客户端发送: CEIDMLDAP-LS02:~ # tcpdump udp -n dst portrange 514 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 11:07:58.865116 IP 10.192.0.108.34249 > 10.192.3.104.514: SYSLOG user.notice, length: 59 11:09:07.921309 IP 10.192.0.108.34249 > 10.192.3.104.514: SYSLOG user.notice, length: 77 […]
我正在使用Amazon Linux AMI版本2015.03,我试图通过在/etc/rsyslog.d中删除configuration文件来configurationrsyslog,以将日志redirect到远程日志logging服务器(在本例中为logstash)。 远程日志loggingconfiguration似乎工作正常,但日志仍然写入/ var / log / messages。 这是一个问题,因为他们正在填满磁盘。 我的conf文件看起来像这样: # Log docker generated log messages to logstash :syslogtag, startswith, "docker" @xxxx:5000 & ~ 经过对其他一些系统的调查之后,我发现Amazon Linux中默认存在的rsyslog.conf文件在conf文件的最后包含了这个指令: $IncludeConfig /etc/rsyslog.d/*.conf 我使用的其他系统在configuration文件中有更高的指令。绝对在默认的日志configuration之前。 在我看来,默认值不能被覆盖,因为这个。 我错过了什么吗?
简要概述 :警报是否比严重更严重。 RFC 5424简要地定义了系统日志的严重级别并给出了一个简短的描述。 每个系统日志级别的代码为0-7。我的理解是0(紧急)是最严重的,7(debugging)是最less的。 然而,我在质疑1(警报)和2(关键)。 RFC 5424中的定义是: 警报:必须立即采取行动 危急:危急情况 然而,在这个网站上,他们给出了更长的描述(这显然是个人意见),但是将其定义为: 警告:应该立即纠正 – 通知可以解决问题的人员 – 例如备份ISP连接丢失 严重:应立即纠正,但指示主系统故障 – 解决ALERT之前的CRITICAL问题 – 示例是主ISP连接丢失 这看起来倒退了,因为它意味着Critical比Alert更严重,即使RFC 5424似乎将Alert设置为更严重。 我只是想知道是否有这个或任何最佳做法的官方立场?
我试图在CentOS 6.4上configurationRsyslog 5.8.10,将Apache的错误和访问日志发送到远程服务器。 这工作,但我有几个问题。 更新 :A,B和C是唯一的答案。 A)我想用尽可能less的队列(和资源)。 我发送错误日志到服务器A,发送访问日志到服务器A,发送两个日志在一个stream到服务器B.我应该指定一个队列每个外部服务 (2个队列)或一个队列每个stream (3队列,因为我现在)? 这是我的: $ActionResumeInterval 10 $ActionQueueSize 100000 $ActionQueueDiscardMark 97500 $ActionQueueHighWaterMark 80000 $ActionQueueType LinkedList $ActionQueueFileName logglyaccessqueue $ActionQueueCheckpointInterval 100 $ActionQueueMaxDiskSpace 1g $ActionResumeRetryCount -1 $ActionQueueSaveOnShutdown on $ActionQueueTimeoutEnqueue 10 $ActionQueueDiscardSeverity 0 if $syslogtag startswith 'www-access' then @@logs-01.loggly.com:514;logglyaccess $ActionResumeInterval 10 $ActionQueueSize 100000 $ActionQueueDiscardMark 97500 $ActionQueueHighWaterMark 80000 $ActionQueueType LinkedList $ActionQueueFileName logglyerrorsqueue $ActionQueueCheckpointInterval 100 […]
我试图configuration我的rsyslog客户端将消息转发到我的syslog-ng日志存储库系统。 转发邮件“开箱即用”,但是我的客户正在logging简称,而不是FQDN。 因此,syslog repo上的消息也使用短名称,这是一个问题,因为不能容易地确定消息来自哪个系统。 我的客户通过DHCP / DNS获取他们的名字。 我尝试了很多解决scheme,试图让这个工作,但没有成功。 我正在使用rsyslog 4.6.2和syslog-ng 3.2.5。 我已经尝试将$PreserveFQDN on设置$PreserveFQDN on /etc/rsyslog.conf中的第一个指令(并重新启动rsyslog)。 这似乎没有效果。 hostname –fqdn在客户端返回正确的FQDN,所以问题不在于系统能否真正找出自己的FQDN。 $LocalHostName <fqdn>看起来很有希望,但是这个指令在我的rsyslog版本中不可用(自4.7.4+,5.7.3+,6.1.3+可用)。 升级目前不是一种select。 configurationsyslog-ng服务器以基于通过DNS的反向查找来填充名称不是一个选项。 反向DNS和公有云存在复杂性。 指定转发器使用自定义模板看起来像是一个可行的选项乍一看。 我可以指定以下内容,这将导致本地日志logging开始使用syslog-ng回购的FQDN。 $template MyTemplate, "%timestamp% <FQDN> %syslogtag%%msg%" $ActionForwardDefaultTemplate MyTemplate 但是,当我把这个地方,syslog ng似乎无法按设施或优先级分类消息。 消息以FQDNforms出现,但所有内容都放在user.log中。 当我不使用自定义模板时,消息在设施和优先级下正确分类,但名称简短。 所以,总而言之,如果我手动把rsyslog诱骗到包含FQDN,那么优先级和设施就会丢失syslog-ng的细节。 我怎样才能得到rsyslog做FQDN日志logging工作正常去syslog-ng存储库? rsyslog客户端configuration: $ModLoad imuxsock.so # provides support for local system logging (eg via logger command) $ModLoad imklog.so # […]
我习惯使用rsyslog从服务器发送我的日志到远程Logstash,configuration文件大致如下(通常更具体以防止发送太多的日志): *.* @192.168.5.5:5000 我现在开始在没有syslog运行的服务器上工作,而是使用journald。 有没有类似的方式发送日志Logstash与Syslog完成日记,或者是否需要更多的工作? 我在网上找不到有关使用Logstash和journald的很多信息。
再一次,我发现Rsyslog没有我想象的那么灵活… 我的应用程序logging到LOCAL5。* (取决于严重性) 我想在我的集中式日志服务器上只看到LOCAL5.WARNING及以上版本 我假设和testing local5.info ~ 但是这意味着阻止LOCAL5.INFO和ABOVE 我如何使它阻止LOCAL5.INFO和下面? build议请?
我已经安装了一个rsyslog服务器(基于CentOS 6),可以很好地处理一些远程主机。 但是,当我添加Cisco ASA防火墙时,它会logging它的消息! rsyslog.conf如下: # rsyslog v5 configuration file # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html ### MODULES #### $ModLoad imuxsock # provides support for local system logging (eg via logger command) $ModLoad imklog # provides kernel logging support (previously done by rklogd) # Provides UDP syslog reception […]
我们有一个系统日志服务器,我们有我们所有的服务器logging到它。 我们需要一种对所有没有configuration规则的远程消息的“全面通用”drippan规则。 任何人都知道如何做到这一点?
如何在保留邮件大于或等于mail.warn的情况下从/ var / log / syslog(rsyslog.conf / Debian)过滤mail.info? 我已经试过几乎所有不同的mail, mail.info, mail.!info, mail.*, mail.warn, mail.!warn , mail, mail.info, mail.!info, mail.*, mail.warn, mail.!warn不同组合的变体,但显然这些文档比我更聪明。 目前我在这,但唉,她是一个不行: *.*;auth,authpriv.none;mail.warn,mail.!info -/var/log/syslog 编辑:我很难理解分号分隔符以及它如何“限制”以前的条目。