我在DMZ有几个www服务器。 我的监控和日志收集服务器放置在我的局域网中。 没有沟通之类的 WWW server in DMZ —-> monitor server in LAN 。 我可以从我的局域网连接DMZ LAN –via proxy–> WWW server in DMZ 。 我要使用syslog-ng。 问题是客户端 – 服务器体系结构和客户机中的syslog-ng工作连接到服务器以发送日志。 有没有办法configuration系统日志ng在某些types的被动模式,服务器(在我的局域网)将连接到客户端(DMZ)和收集日志? 编辑:我正在阅读有关Zabbix代理(zabbix可以监视日志)…而依靠zabbix文档teoryicaly它将是posible使我的scheme工作。 有人可以证实吗?
我在我的机器上使用syslog-ng 3.0。 有一台机器,从其他三台机器获取日志。 但最近,当我使用top来监视cpu的使用情况时(主要的),我发现syslog-ng使用了cpu的95%。 我使用第二深度包含在我的confs。 这个问题有什么可能的原因? 提前致谢。
root@monitor:/opt/observium# service syslog-ng restart Stopping system logging: syslog-ng. Starting system logging: syslog-ngsyslog-ng: Error setting capabilities, capability management disabled; error='Operation not permitted' root@monitor:/opt/observium# uname -a Linux monitor 2.6.32-042stab075.2 #1 SMP Tue Mar 5 15:21:53 MSK 2013 x86_64 GNU/Linux 这是内核的问题吗?
我很惊讶这给了我多less麻烦。 我有一个RHEL 7机器,我试图安装syslog-ng。 我添加了EPEL仓库,我得到以下输出: # yum install syslog-ng.x86_64 –enablerepo=epel syslog-ng Loaded plugins: amazon-id, rhui-lb, search-disabled-repos Resolving Dependencies –> Running transaction check —> Package syslog-ng.x86_64 0:3.5.6-3.el7 will be installed –> Processing Dependency: ivykis >= 0.36.1 for package: syslog-ng-3.5.6-3.el7.x86_64 –> Processing Dependency: libivykis.so.0(IVYKIS_0.30)(64bit) for package: syslog-ng-3.5.6-3.el7.x86_64 –> Processing Dependency: libivykis.so.0(IVYKIS_0.29)(64bit) for package: syslog-ng-3.5.6-3.el7.x86_64 –> Processing Dependency: libnet.so.1()(64bit) […]
由于日志在syslog-ng中被捕获,我希望能够自动监视日志,并在没有出现符合特定条件的日志事件时收到警报。 例如,对于基于订阅的网站,如果在没有订单的情况下经过6个小时,则发送电子邮件或文本这个人或一组人。 什么是一个很好的方法来做到这一点?
我想设置一个简单的日志服务器来接受来自所有客户端的日志。 我不是在谈论标准的系统日志,如/ var / log / mail,消息,启动等。我想redirect或发送应用程序日志,他们可能不会使用syslog守护进程logging他们的消息。 如/appdir/log/error.log。 我在互联网上跑过很多post; 大多数build议使用rsyslog或syslog-ng。 那么到目前为止,我已经能够redirect标准的系统日志而不是应用程序日志。 我正在使用centos 5/6环境。
我想parsing一些自定义( networking设备 )系统日志文件来创build我自己的格式化输出。 由于我是syslog-ng&patterndb的新手,我一直在尝试使用文档来构build一个示例 – 到目前为止,我的工作是在这里: https : //gist.github.com/linickx/8002981 在这个例子中,我想读取syslog文件(testfile.log): Accepted password for sampleuser from 10.50.0.247 port 42156 ssh2 Accepted password for user from 10.51.0.27 port 4256 ssh2 输出用户名和IP地址列表,如: sampleuser; 10.50.0.247; user; 10.51.0.27; parsing日志文件我创build了以下patterndb(example.xml): <patterndb version='4' pub_date='2010-10-17'> <ruleset name='ssh' id='123456678'> <pattern>ssh</pattern> <rules> <rule provider='me' id='182437592347598' class='system'> <patterns> <pattern>Accepted @ESTRING:SSH.AUTH_METHOD: @for @ESTRING:SSH_USERNAME: @from @ESTRING:SSH_CLIENT_ADDRESS: @port @NUMBER:SSH_PORT_NUMBER:@ […]
我find了syslog-ng的实例,在我们的一个生产环境中写下了一个空白的kernel.emerg行。 一个例子: Dec 21 00:14:56 someserver [syslog-ng.err] Error processing log message: <Q▒b +\c 21 00:14:56 someserver [syslog-ng.err] Error processing log message: <;E0 Dec 21 00:14:56 someserver [syslog-ng.err] Error processing log message: <▒"▒l Dec 21 00:14:57 someserver [syslog-ng.err] Error processing log message: <▒▒▒▒e▒F Dec 21 00:14:57 someserver [syslog-ng.err] Error processing log message: <▒▒ Dec 21 00:14:58 […]
我试图configuration我的rsyslog客户端将消息转发到我的syslog-ng日志存储库系统。 转发邮件“开箱即用”,但是我的客户正在logging简称,而不是FQDN。 因此,syslog repo上的消息也使用短名称,这是一个问题,因为不能容易地确定消息来自哪个系统。 我的客户通过DHCP / DNS获取他们的名字。 我尝试了很多解决scheme,试图让这个工作,但没有成功。 我正在使用rsyslog 4.6.2和syslog-ng 3.2.5。 我已经尝试将$PreserveFQDN on设置$PreserveFQDN on /etc/rsyslog.conf中的第一个指令(并重新启动rsyslog)。 这似乎没有效果。 hostname –fqdn在客户端返回正确的FQDN,所以问题不在于系统能否真正找出自己的FQDN。 $LocalHostName <fqdn>看起来很有希望,但是这个指令在我的rsyslog版本中不可用(自4.7.4+,5.7.3+,6.1.3+可用)。 升级目前不是一种select。 configurationsyslog-ng服务器以基于通过DNS的反向查找来填充名称不是一个选项。 反向DNS和公有云存在复杂性。 指定转发器使用自定义模板看起来像是一个可行的选项乍一看。 我可以指定以下内容,这将导致本地日志logging开始使用syslog-ng回购的FQDN。 $template MyTemplate, "%timestamp% <FQDN> %syslogtag%%msg%" $ActionForwardDefaultTemplate MyTemplate 但是,当我把这个地方,syslog ng似乎无法按设施或优先级分类消息。 消息以FQDNforms出现,但所有内容都放在user.log中。 当我不使用自定义模板时,消息在设施和优先级下正确分类,但名称简短。 所以,总而言之,如果我手动把rsyslog诱骗到包含FQDN,那么优先级和设施就会丢失syslog-ng的细节。 我怎样才能得到rsyslog做FQDN日志logging工作正常去syslog-ng存储库? rsyslog客户端configuration: $ModLoad imuxsock.so # provides support for local system logging (eg via logger command) $ModLoad imklog.so # […]
我怎么能告诉syslog-ng我想切换日志文件。 我正在寻找一个命令或信号来告诉syslog-ng执行一个logswitch。 对文档和FAQ的search没有提出解决scheme。