我一直在试图让rsyslog通过TLS传输,目前还没有运气。 我的configuration似乎有些问题,但我无法确定。 这是我的服务器conf文件: # rsyslog v5 configuration file # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html #### MODULES #### $ModLoad imuxsock # provides support for local system logging (eg via logger command) $ModLoad imklog # provides kernel logging support (previously done by rklogd) $ModLoad immark # provides –MARK– message capability […]
我的路由器每四十秒广播一次(发送到224.0.0.1)。 UFW在syslog中存储了一个日志条目: 1月5 03:49:02日志内核:[1184.788900] [UFW BLOCK] IN = eth0 OUT = MAC = 01:00:5e:00:00:01:40:5a:9b:5c:9c:fd:08: 00 SRC = 192.168.1.1 DST = 224.0.0.1 LEN = 32 TOS = 0x00 PREC = 0x80 TTL = 1 ID = 0 DF PROTO = 2 我即将build立一个系统日志服务器,将收集每个networking的50台机器的消息。 每隔四十秒就用50条消息来污染系统日志,这让我非常恼火,而且路由器本身不幸是不可configuration的。 有没有办法阻止这些特定的消息(通过源和目标过滤)被logging,同时仍然logging防火墙阻止的其他条目?
我有一个运行Ubuntu 12.04的rsyslog服务器,它存储来自运行Ubuntu 12.04的不同客户端的日志。 现在我想从运行Ubuntu 12.04的机器上查看这些日志。 一种方法是SSH服务器和查看日志使用尾巴等,但是这是非常累人的,根本不可能所以没有任何好的开源工具,我可以用它来访问我的机器上的日志,这将是如果它是一个GUI应用程序或基于浏览器的方便。 谢谢。
我正在尝试build立一个集中的日志服务器。 我有中央服务器(A)通过端口514上的远程服务器(B)接收日志。我知道它正在接收这些。 以下是来自514端口上的tcpdump的一些条目 # tcpdump port 514 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 10:49:52.136520 IP IP_FROM_SERVER_B.55558 > IP_FROM_SERVER_A.syslog: SYSLOG local0.notice, length: 474 10:49:52.136792 IP IP_FROM_SERVER_B.55558 > IP_FROM_SERVER_A.syslog: SYSLOG user.notice, length: 671 10:49:52.136838 IP IP_FROM_SERVER_B.55558 > IP_FROM_SERVER_A.syslog: SYSLOG user.info, length: […]
我正在尝试在CentOS 6.5上为Cisco路由器和交换机设置一个集中的rsyslog服务器。 在思科设备上,我设置了正确的date/时间和启用的时间戳,通过端口514上的TCP通过TCPlogging到服务器,将设备设置为local4路由器,local5设置交换机,并捕获debugging进行testing。 在/etc/rsyslog.conf中,我启用了TCP并设置了local4。*以logging到/var/log/cisco/routers.log和local5。*以logging到/var/log/cisco/switches.log。 我检查了SELinux,并没有报告任何违规行为。 我已经testing防火墙(端口514允许通过)和iptablesclosures。 我可以看到连接已经build立,tcpdump显示系统日志数据包正在进入服务器,但syslog不logging任何文件。 它不会将收到的任何内容logging到/ var / log / messages中。 当我用UDPtesting时,它工作得很好。 这是没有修改$ AllowedSender。 任何想法可能是什么问题?
在使用mysql扩展安装和configurationMySQL和rsyslog之后,在/ var / log / messages中出现以下错误: rsyslogd:db error(2002):无法通过socket'/var/lib/mysql/mysql.sock'(13)连接到本地MySQL服务器 我可以通过指定'–socket = / var / lib / mysql / mysql.sock'通过套接字使用mysql客户端连接。 我已经把问题缩小到了selinux的权限。 /var/log/audit/audit.log文件有这样的说法: type = AVC msg = audit(1244654592.150:320):avc:denied {search} for pid = 6382 comm =“rsyslogd”name =“mysql”dev = xvda3 ino = 1369538 scontext = user_u:system_r:syslogd_t:s0 tcontext = system_u :object_r:mysqld_db_t:s0 tclass = dir 在许可模式下转换selinux确实可以解决问题。 这将是生产服务器和离开selinux在宽容模式不是一个选项。 在/var/lib/mysql/mysql.sock上运行restorecon也不能解决问题。 有谁能帮我一把吗? 编辑: 所以我的追求继续,inheritance人更新。 […]
1)根据您的经验,rsyslog的RELP日志传输格式是否需要大量的资源,而不是简单的TCP syslog传输使用的资源? (CPU,磁盘I / O,networking) 2)IYHO,是TCP系统日志传输如此不可靠? 现在我问,你怎么比较这两个对UDP系统日志传输? 谢谢!
使用CentOS我有rsyslogconfiguration为通过shell执行操作(^)将数据发送到python脚本。 我已经安装了python 2.7,但是当我的脚本被调用时,shell环境引用了python2.4。 任何想法如何让外部脚本指向正确的Python版本?
我有一对sonicwall设备指向一个rsyslog(v4.6.2)实例,这些实例明显地将它们的消息格式化为mysql插件。 rsyslog实例logging其他设备没有问题(linux服务器和一些交换机),但sonicwall设备的消息部分回来 $ msg INVALID PROPERTY NAME 消息的其余部分正确logging(时间,来源,设施等) 看看rsyslogdebugging日志,我看到这个消息的收件人 时间戳:调用操作,logging到ommysql.so 时间戳:无效的属性ID:“0” 如果我也login到推荐的“debugging”模板(基于文件),结果类似于以下内容: FROM主机:'XXXX',HOSTNAME:'Real Hostname',PRI:129,syslogtag'id = firewall',程序名:'id = firewall',APP-NAME:'id = firewall',PROCID:' – ',MSGID: ' – ', TIMESTAMP:'Jan 31 14:10:12',STRUCTURED-DATA:' – ', msg:'sn = 0017C5272ED0 time =“2012-01-31 14:10:13”fw = XXXX pri = 1 c = 32 m = 608 msg =“IPS 检测警报:INFO SNMP访问(UDP)“sid = 748 ipscat = […]
我有两个中央rsyslog服务器接受来自多个客户端机器的UDP日志。 两者configuration完全一样。 出于某种原因,第一台服务器没有按时从客户端计算机获取日志。 我的意思是它会得到它,但延迟了大约一个小时左右。 第二台服务器按时从客户机获取日志。 据我所知,两台服务器上都没有其他进程正在运行,负载也几乎相同。 我知道UDP是不可靠的,但我不明白为什么第一台服务器获取日志,但延迟,但第二台服务器正在准时。