我试图build立一个远程服务器日志logging,它的默认端口514正常工作。现在假设我想要客户端发送日志在不同的端口上说'15141',如果更改客户端/etc/syslog.conf以包括下面的行它不起作用。 *.info;kern.none;*.err;local.none @10.10.10.2:15141 我是否必须更改客户机或服务器机器的/etc/services的任何内容? 服务器机器是一台Linux机器。
我configuration了error.log和access.log,以便在RHEL 7.2中将其redirect到/etc/httpd/conf/httpd.conf中的rsyslog服务器。 ErrorLog "syslog:local1" CustomLog "|/usr/bin/nc -u syslog.mydom.com 514" "<134>%{%b %d %X}t web1 apache %h %l %u %t \"%r\"%>s %b \"%{Referer}i\" \"%{User-agent}i\"" 我可以看到error.log和access.log都只logging到一个文件,即syslog.log但我想error.loglogging名称error.log和access_loglogging名称access.log只有在远程rsyslog服务器。 请让我知道,如果有更多的细节,我应该提供。
我正在运行已经安装了syslog的CentOS 5。 当我尝试安装rsyslog我收到消息 file /etc/logrotate.d/syslog from install of rsyslog-7.6.7-1.el5.centos.x86_64 conflicts with file from package sysklogd-1.4.1-44.el5.x86_64 看了一下后,似乎没有看到他们可以安装在同一台机器上,但我想百分百肯定。
我们用nc来听一个端口: nc -kluvw 0 localhost 9000 使用nc发送消息: echo "hi" | nc -u localhost 9000 这将在服务器上打印“Hi”。 但是,将访问日志设置为系统日志logging器时,不会logging任何内容。 logging到/ dev / stdout的作品。 作品: access_log /dev/stdout l2met; 不起作用: access_log syslog:server=localhost:9000 l2met;
我刚刚设置了RSYSLOG 8.16。 我没有改变任何默认的conf文件或默认模板(除了得到RSYSLOG运行和工作)。 我没有添加自定义模板。 日志似乎正在工作,但是到自定义位置的日志数据仍然被复制到系统日志。 我很确定我已经确定了默认模板中的违规行,但迄今为止我所做的任何调整似乎都是通过中断所有logging到syslog的日志来修复这个doublelogging。 这是我的自定义模板: $template TmplAuth, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log" $template TmplMsg, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log" authpriv.* ?TmplAuth *.info;mail.none;authpriv.none;cron.none ?TmplMsg 这里是我的默认模板的未评论的部分: auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog kern.* -/var/log/kern.log mail.* -/var/log/mail.log mail.err /var/log/mail.err news.crit /var/log/news/news.crit news.err /var/log/news/news.err news.notice -/var/log/news/news.notice *.emerg :omusrmsg:* daemon.*;mail.*;\ news.err;\ *.=debug;*.=info;\ *.=notice;*.=warn |/dev/xconsole 老实说,我不介意通过自定义模板的格式来运行一切,甚至是来自本地系统的东西,但是我不知道是否有这样的规则可以写,或者如果我必须重写所有那些默认configuration中的项目指向自定义模板。 或者,我也很好奇我怎么写这个,以便本地机器信息通过正常的过程,但通过模板logging来自外部系统的任何信息。 如果我想稍后改变某些事情,我会对如何达成任何结果的一些指导感兴趣。 大多数情况下,我只想摆脱目前信息翻倍的情况。
在我们的php应用程序中,我们使用syslog调用进行日志logging,但是我们注意到系统中存在packetloss。 我们使用以下设置:Ubuntu 14.04,PHP 7.0,系统日志3.5.6。 Php根据设施和优先级将日志传输到本地系统日志服务器(通过/ dev / log),将日志传输到中央日志logging服务器。 由于心跳cron,我们监视系统中的包丢失,并且经常发现包丢失。 Strace显示数据包在php和syslog之间丢失 正常的日志调用就像这样 socket(PF_LOCAL, SOCK_DGRAM|SOCK_CLOEXEC, 0) = 3 connect(3, {sa_family=AF_LOCAL, sun_path="/dev/log"}, 110) = -1 EPROTOTYPE (Protocol wrong type for socket) close(3) = 0 socket(PF_LOCAL, SOCK_STREAM|SOCK_CLOEXEC, 0) = 3 connect(3, {sa_family=AF_LOCAL, sun_path="/dev/log"}, 110) = 0 sendto(3, "<154>Oct 31 06:12:02 Framework_L"…, 125, MSG_NOSIGNAL, NULL, 0) = 125 close(3) = […]
现在,我想分析日志从Python的库logging ,我想通过logger的名字是logger的属性过滤日志。 我想我可以使用正则expression式从msg或rawmsg提取logger的名称。 但是这个问题是很难findrsyslog只是支持一个基本的正则expression式。 我曾尝试过像前瞻性的组合和向后看的组合。 而且我也找不到即使是一个简单的捕获组的使用。 在rsyslog中是否有捕获组支持? 顺便说一下,我使用的是centos6.9,所以rsyslog的版本是v5。
如何将以下内容转换为rsyslog语法? filter local2 { facility(local2); }; filter not_local2 { not facility(local2); }; destination server2 { tcp("server2" port(1111)); }; destination localhost { file ("/var/log/local2.log"); }; log { source(s_all); filter(local2); destination(localhost); }; filter pics { program ("preview_*"); }; destination pics { file ("/logdir/${PROGRAM}.log"); }; log { source(s_all); filter(pics); destination(pics); };
我有大量需要将数据发送到中央服务器(也运行OS X)的“客户端”计算机(运行OS X 10.6.3的Mac Minis),因此我正在使用远程系统日志来完成此操作。 我的问题是,如果服务器(或客户端)由于某种原因而离线,客户端计算机是否有可能缓冲日志数据,使其不会丢失?
我们希望存储logging,以便于search和延长时间。 问题是有多个服务器需要归档。 我已经看了一些基于数据库的解决scheme。 数据库几乎是存储这些数据的唯一方法,因此可以进行分析和search。 问题是数据库有两种方法。 大多数解决scheme只关注存储数据,这可以被视为缺乏索引。 索引很容易创build,但通过创build索引,数据库开始失控。 我正在寻找的是一个解决scheme,提供这两个极端之间的平衡。 我希望在数据库保持相对较小的情况下具有较好的search能力(search整个单词或IP地址)。 对于一个很好的方法,我已经看到一个数据库有4GB的数据增长到40GB只是因为索引。