我正在尝试安装一个Windows 2008服务器,以便能够将事件日志消息发送到运行Linux的syslog-ng服务器。 我更喜欢本地的东西,但我想这是不可能的。 更新第一个答案build议使用网罗,到目前为止,这是我发现的最好的解决scheme,完全无痛的设置,并在不到五分钟的时间我login到我的系统日志ng服务器。 唯一的缺点(不是网罗故障)是日志以windows-1252字符集编码发送。 所以我不能tail -f它们,除非我改变字符集。 如果你正在使用syslog-ng,这可以通过创build一个新的源代码来解决,就我而言: source src_win { udp( ip("192.168.1.200") port(514) encoding("WINDOWS-1252")); }; 之后(并将新的来源分配到正确的地方),你将能够正确地看到你的Windows日志。 旧内容 环顾四周,我发现这个页面指出了一些解决scheme: http : //www.itbuzzer.net/corner/2008/10/how-to-send-windows-events-to-syslog.asp 系统日志代理( http://www.syslogserver.com/syslogagent.html ):这是最简单的select,但最后一次更新是从2008年 eventlog-to-syslog( http://code.google.com/p/eventlog-to-syslog/ ):它似乎是最新的,最近已经从普渡大学迁移到code.google.com ntsyslog( http://ntsyslog.sourceforge.net/ ):不能在Windows 2008server上运行,所以我不能使用那个。 有没有人有任何这些或其他的经验?
我们目前使用logging器来获取我们的Apache访问日志到syslog-ng,并在每个虚拟主机中使用这样一行: CustomLog "|/usr/bin/logger -p local1.info -t www_main" combined 似乎几乎所有关于Apache和syslog-ng的教程或build议都使用此方法将日志获取到syslog-ng中。 ( 例子 )。 其余的使用命名pipe道和pipe道()源。 ( 例子 )。 这样做的麻烦在于,logging器会拆分超过1024个字节的所有行,并将它们作为单独的日志条目发送,这意味着某些日志条目会在日志logging框上的最终目标日志文件的单独行中结束。 使用命名pipe道和syslog-ng中的pipe()源可以解决分割线问题,但会带来一系列小问题和烦恼。 举几个例子,命名pipe道必须在Apache和syslog-ng都启动之前创build,syslog-ng必须在Apache启动之前启动并且标记日志(上面用-t完成)现在必须在syslog-ngconfiguration文件而不是在vhost中。 本页build议编写一个简短的Perl脚本来代替/ usr / bin / logger。 我想知道是否有人知道任何logging器的替代品,最好用本地编译的语言编写,或者可能是不把长线分成两半的更新版本的logging器。 我也有兴趣听到任何其他解决长日志行被拆分的问题的解决办法,例如一旦他们到达日志服务器,使用syslog-ng将它们重新组合起来。
这是系统: SUSE Linux Enterprise Server 10 syslog-ng和预定义的syslog-ng.conf / var / log / messages中的消息如下所示: 2月8日09:29:53 sles1 sshd [17529]:从10.30.34.64端口接受keyboard-interactive / pam端口4855 ssh2 我需要的: logging事件严重性/设施。 例如,在消息的开头添加<PRI> : <15> Feb 8 09:29:53 sles1 sshd [17529]:从10.30.34.64端口接受键盘交互式/ pam端口4855 ssh2 我的问题是: 如何更改syslog-ng.conf来启用这种日志logging? 谢谢。
在我的小型Debian挤压networking服务器上,我安装了syslog-ng( 不是 syslogd,就像这个问题一样 )。 一般来说,我的日志很好,很安静 — MARK — 线。 然而,我的/var/log/syslog散布在这里 Sep 23 23:09:01 bookchin /USR/SBIN/CRON[24885]: (root) CMD ( [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -delete > /dev/null) Sep 23 23:09:01 bookchin /USR/SBIN/CRON[24886]: (root) CMD ( [ -d /var/lib/php4 ] && find /var/lib/php4/ -type f -cmin […]
如果有人已经在Solaris 10上运行了syslog-ng,那么是否有一组指令可以让我们安装并运行? 我尝试了下面的这个http://opensystems.wordpress.com/2006/06/01/replacing-syslog-on-solaris-10-with-syslog-ng/,但是却一直停留在syslog-ng服务卡住重新启动而没有指示为什么。 谢谢你的帮助。 NickB
我正在尝试安装并运行syslog-ng,但是我被阻塞了以下错误。 Error opening configuration file; filename='/etc/syslog-ng/syslog-ng.conf', error='Permission denied (13)' 我用sudo运行这个,文件和目录现在都有777权限。 我已经使用了strace,这是一个公开的电话,与EACCESS失败。 据我们所知,它不会变成另一个用户。 更新:按要求:strace输出 [edward.sargisson@apps-mgmt-fe1 syslog-ng]$ sudo strace -f -v -eopen /etc/init.d/syslog-ng start open("/etc/ld.so.cache", O_RDONLY) = 3 open("/lib64/libtermcap.so.2", O_RDONLY) = 3 open("/lib64/libdl.so.2", O_RDONLY) = 3 open("/lib64/libc.so.6", O_RDONLY) = 3 open("/dev/tty", O_RDWR|O_NONBLOCK) = 3 open("/usr/lib/locale/locale-archive", O_RDONLY) = 3 open("/proc/meminfo", O_RDONLY) = 3 open("/usr/lib64/gconv/gconv-modules.cache", O_RDONLY) = 3 open("/etc/init.d/syslog-ng", […]
背景 :远程日志聚合被认为是一种提高安全性的方法。 通常,这可以解决危害系统的攻击者可以编辑或删除日志以阻止取证分析的风险。 我一直在研究常见的日志工具中的安全选项。 但有些事情感觉不对 我看不到如何configuration任何常用的远程logging器(例如rsyslog,syslog-ng,logstash)来validation传入的消息是否真正来自声称的主机。 如果没有某种政策约束,一个日志发起者可以代表另一个日志发起者伪造消息。 rsyslog的作者似乎警告有关validation日志数据 : 最后要注意的是:transport-tls保护发送者和接收者之间的连接。 它不一定能保护消息本身的攻击。 特别是在中继环境中,该消息可能来自恶意系统,该恶意系统将无效的主机名和/或其他内容放入其中。 如果没有提供这些logging,这些logging可能会显示在接收者的存储库中。 -transport-tls不能防止这种情况发生(但它可能有帮助,正确使用)。 请记住,syslog-transport-tls提供了逐跳安全性。 它不提供端到端的安全性,也不authentication消息本身(只是最后一个发送者)。 所以后续的问题是:什么是一个好的/实用的configuration(在你select的任何常见的日志工具 – rsyslog,syslog-ng,logstash等),它提供了一定的真实性? 或者…如果没有人authentication日志数据,那为什么不呢? – (另外:在讨论/比较时,可能会使用RFC 5424中的一些图或术语:第4.1节:示例部署scheme – 例如“发起者”vs“中继”与“收集器”)