我将DMZ主机转发到DMZ系统日志,然后将所有系统日志消息转发到内部系统日志服务器。 它的大部分工作正常,但内部系统日志主机消息似乎都来自DMZ系统日志,即它失去了原来的主机名。 {Hosts} – > {DMZ syslog:openbsd:syslog v 1.17} – > {Internal Syslog:rsyslog v3} 我怎样才能保留主机名? 谢谢!
我有许多Cisco / JunOS路由器和交换机,它们将日志发送到使用rsyslogd Debian服务器。 如何configurationrsyslogd根据源IP地址将这些路由器/交换机日志发送到特定的文件? 我不想用这些条目来污染一般的系统日志。 例如: 在芝加哥的所有路由器(源IP块:172.17.25.0/24)只logging到/var/log/net/chicago.log 。 在达拉斯的所有路由器(源IP块172.17.27.0/24)只logging到/var/log/net/dallas.log 。 删除所有APF-3-RCV_UNSUPP_MSG消息而不logging它们 将日志172.17.4.4发送到名为/var/log/net/firewall.log的文件 使用UDP端口514将防火墙日志转发到10.14.12.12 最后,这些日志应该每天轮换最多30天并压缩。 注:我正在回答我自己的问题
我想停止rsysloglogging这些消息。 [168707.740364] TCP: Peer 192.168.100.1:46199/41503 unexpectedly shrunk window 2027330493:2027331431 (repaired) 我在/etc/rsyslog.conf中试过,但是这些消息仍然被logging下来。 if $msg contains 'unexpectedly' then /dev/null 任何人都可以指向正确的方向吗?
我在ubuntu 14.04上通过apt-get安装haproxy 1.5,通过ppa:vbernat/haproxy-1.5 http://haproxy.debian.net/ 问题是它logging到/var/log/syslog而不是/var/log/haproxy.log 设置基本上是默认的: /etc/haproxy/haproxy.cfg global log /dev/log local0 log /dev/log local1 notice chroot /var/lib/haproxy stats socket /run/haproxy/admin.sock mode 660 level admin stats timeout 30s user haproxy group haproxy daemon # Default SSL material locations ca-base /etc/ssl/certs crt-base /etc/ssl/private # Default ciphers to use on SSL-enabled listening sockets. # For more information, see […]
我正在运行一个Debian服务器,几天前我的rsyslog开始performance得非常怪异,守护进程正在运行,但似乎没有任何操作。 很多人使用这个系统,但是我是唯一拥有(合法)root权限的人。 我正在使用默认的rsyslogdconfiguration(如果您认为是相关的,我会附加它,但这是包装中的一个)。 我旋转了所有的日志文件后,它们仍然是空的: # ls -l /var/log/*.log -rw-r–r– 1 root root 0 Jun 27 00:25 /var/log/alternatives.log -rw-r—– 1 root adm 0 Jun 26 13:03 /var/log/auth.log -rw-r—– 1 root adm 0 Jun 26 13:03 /var/log/daemon.log -rw-r–r– 1 root root 0 Jun 27 00:25 /var/log/dpkg.log -rw-r—– 1 root adm 0 Jun 26 13:03 /var/log/kern.log -rw-r—– 1 […]
在我的configuration中,我有imfile负责使用imfile对/home/user/my_app/shared/log/unicorn.stderr.log进行imfile 。 内容使用TCP发送到另一个远程日志logging服务器。 当日志文件旋转时,rsyslog停止发送数据到远程服务器。 我尝试重新加载rsyslog,发送一个HUP信号,并重新启动它,但没有任何工作。 我能find的实际工作的唯一方法是肮脏的: 停止服务,删除rsyslog stat文件并重新启动rsyslog。 所有在postrotate钩在我的logrotate文件。 kill -9 rsyslog并启动它。 有没有一个适当的方式让我做到这一点,而不触摸rsyslog内部? Rsyslog文件 $ ModLoad immark $ ModLoad imudp $ ModLoad imtcp $ ModLoad imuxsock $ ModLoad imklog $ ModLoad imfile $ template WithoutTimeFormat,“[environment] [%syslogtag%] – %msg%” $ WorkDirectory / var / spool / rsyslog $ InputFileName /home/user/my_app/shared/log/unicorn.stderr.log $ InputFileTag unicorn-stderr $ InputFileStateFile stat-unicorn-stderr […]
使用rsyslog为每个日志文件定义不同的权限是否可行? $ FileCreateMode适用于所有,但我想要一个特定的文件不同的权限。
我试图让rsyslog发送所有日志到2个远程服务器,但似乎rsyslog只发送到辅助服务器,如果第一个失败。 *.* @@server1 *.* @@server2 如果我把上面的代码放在/etc/rsyslog.conf中,只要server1启动,server2就不会收到任何日志。 如何告诉rsyslog无论发送到两台服务器? 此外,作为额外的奖励,我想使用2个不同的本地“缓冲区”文件进行本地存储,如果远程服务器宕机。
我正在使用默认的rsyslog和logrotate工具在Ubuntu 14上工作。 在默认的rsyslog logrotate /etc/logrotate.d/rsyslogconfiguration我看到以下内容: /var/log/syslog { rotate 7 daily missingok notifempty delaycompress compress postrotate reload rsyslog >/dev/null 2>&1 || true endscript } 据我所知,build议在所有logrotatescheme中使用copytruncate,因为它不会移动当前日志,而是截断日志,所以任何具有打开文件处理程序的进程都可以继续写入日志。 那么为什么使用rsyslog重载function的默认configuration呢?
我有几个应用程序和脚本,我想将输出redirect到自定义文件。 我使用启动这些应用程序 command | logger -t TAG 我想根据他们的标签过滤这些消息,并将其redirect到不同的文件。 我不想使用bashredirect,因为这些应用程序主要是长时间运行的过程,需要适当的日志轮换。 我曾尝试在/etc/rsyslog.d/60-myfilter.conf中添加自定义filter; if $syslogtag == 'giomanager' then /var/log/giomanager.log 我究竟做错了什么 ? 什么是正确的方式来过滤基于标签或有更好的select有类似的结果?