我在SuperUser中问这个问题没有太多的运气,所以我在这里贴出来看是否有人可以帮忙。 我们有一个中央系统日志服务器,我们希望它从Windows主机捕获事件日志事件。 我们特别感兴趣的是logging服务启动/停止事件。 我们在这些Windows主机上安装了“Eventlog to Syslog”,并且与XP主机一起运行良好(事件来自Service Control Manager)。 但是,我们遇到了Win2k主机的问题。 出于某种原因,服务启动/停止事件不logging在Win2k主机的事件日志中。 我从另一家公司得到了另一个朋友在Win2k主机上testing,他确实得到了启动/停止事件。 我已经search了我需要启用的本地审计策略,但没有太多的运气。 有人有主意吗? 提前致谢。
与一个服务器分配两个接口,.234和.235,我怎样才能创build一个filter分离传入的消息? 这个configuration只输出到一个文件夹 —-列表界面—- eth0:234 – 10.10.10.234 eth0:235 – 10.10.10.235 —- syslog-ng.conf —- source s_net_234 { syslog(ip(10.10.10.234) port(514) max-connections(300) transport("udp")); }; source s_net_235 { syslog(ip(10.10.10.235) port(514) max-connections(300) transport("udp")); }; destination d_switches_hosts.235 { file("/var/log/HOSTS/switches.235/$HOST_FROM/$YEAR$MONTH$DAY.log" }; destination d_switches_hosts.234 { file("/var/log/HOSTS/switches.234/$HOST_FROM/$YEAR$MONTH$DAY.log" }; filter f_switches234 { (source(s_net_234)) }; filter f_switches235 { (source(s_net_235)) }; log { source(s_net_234); destination(d_switches_hosts.234); flags(final); }; log […]
我在SLES 10上使用了syslog-ng 1.6.8 。在这台机器上,我需要将所有事件转发到远程主机10.30.38.115。 但是,初步我必须改变一些信息,添加“MyMark”前缀的事件结束。 我尝试了以下内容: source src { internal(); unix-dgram("/dev/log"); }; destination editredirect { udp("10.30.38.115" port(514) template("<$PRI> $DATE $HOST $MSG MyMark\n") ); }; log { source(src); destination(editredirect); }; 但它不起作用。 在远程主机上,我根本没有收到这些消息。 真相告诉我,即使我删除模板,我也不会收到他们。 远程主机被configuration为接收传入的消息,它确实如此。 所以,我的问题是如何调整syslog-ng.conf以便在将消息发送到远程主机之前更改消息。 更新:解决 这里是如何组织redirect: 远程机器: source src { # # include internal syslog-ng messages # note: the internal() soure is required! # internal(); […]
我有一个syslog-ng的问题。 我想让syslog-ng格式化如下所示的日志: template("$YEAR-$MONTH-$DAY\\011$HOUR:$MIN:$SEC\\011$HOST\\011$MSGHDR$MSGONLY\n") 但是它没有logging“\”。 只是“011”。 例: 预计:2012-11-28 \\ 01116:33:51 \\ 011host_name \\ 011app_name [26250]:消息 发生了:2012-11-2801116:33:51011host_name011app_name [26250]:message 编辑:我试过template_escape()和flags()方法,但没有运气。 任何想法将不胜感激。 提前致谢。
当我试图从rsyslog发送日志到syslog-ng时,主机名正在变短。 而不是inbound.server.com,即使在接收端启用了FQDN选项,我也只能在syslog-ng端接收入站信息。 当我使用syslog发送日志时,syslog-ng服务器工作正常,所以在发送端有一些问题。 我如何在rsyslog的模板中专门指定编写完整的主机名? 我也做了一个ML的post ,他们说要添加一个自定义模板。 我对rsyslog完全陌生,刚开始阅读文档,所以不知道该怎么做。
我正在设置一个syslog-ng服务器来接受来自各种来源的日志。 一般设置将是: Device1 Device2 Syslog1 Device3 –> Load balancer –> Syslog2 –> Shared SAN storage Device4 Syslog3 Device5 我正在使用514 / udp,并且使用这个设置,我应该很容易拥有HA,并且能够循环播放负载。 我关心的是存储如何在后端被共享和写入。 理想情况下,我希望每个设备都有一个deviceX.log文件。 如果syslog1从device1中获取一个较大的日志文件,并且在syslog2从device1中获取一个小的日志文件并开始尝试同时写入同一个文件时仍在写入device1.log,会发生什么情况? 我已经读过,如果你追加这个文件,而不是在“写”模式下打开它,那么你永远不会得到写保护的错误。 我不知道syslog如何做到这一点。 所以我的问题是: 你会推荐什么共享文件系统让SAN在系统日志框中共享? 有没有更好的办法做多个系统日志服务器1文件? 如果syslog只是附加,那么我应该没事。 任何build议将不胜感激。 提前致谢。
我有syslog-ng运行,但似乎没有logging到/ var / log了。 看着它显然习惯了一段时间的日志: -rw——- 1 root root 0 Sep 8 00:55 messages -rw——- 1 root root 569157 Sep 4 01:27 messages.1 -rw——- 1 root root 55402 Sep 1 00:55 messages.2.gz -rw——- 1 root root 55488 Aug 25 00:55 messages.3.gz -rw——- 1 root root 56132 Aug 18 00:55 messages.4.gz 我有它运行: root 419 1 0 […]
我无法将/var/log/audit/audit.log发送到远程服务器。 我已经尝试了下面的方法,但没有运气。 完成下面的configuration后,无法重新启动syslog-ng服务。 syslog-ng版本是sles10 syslog-ng-1.6.8-20.21.1 。 方法1: source s_auditlog {pipe(“/var/log/audit/audit.log);}; destination d_audit_access { file(“/var/log/audit/$FULLHOST” template(“$MSGONLYn”) template-escape(no) owner(“root”) group(“root”) perm(0640));}; destination d_host { udp("10.253.1.231" port (514)); }; log {source(s_auditlog); destination(d_host); }; 方法2: source auditlog { file("/var/log/audit/audit.log" log_prefix("audit: "); }; destination d_host { udp("10.253.1.231" port (514)); }; log{ source(auditlog); destination(d_host); };
我需要为在Parse上运行的应用程序设置日志耗尽。 我的来源如下所示: source s_parse { #internal(); program("/home/ubuntu/parse/tailparse.sh" flags(no-parse)); }; 和tailparse.sh看起来像这样: #!/bin/sh cd /home/ubuntu/parse parse log appname -f 直接运行脚本工作正常,我明确地使用硬编码path,并在调用parsing命令行实用程序之前,cd到正确的目录。 不幸的是,我从syslog-ng获得的唯一输出是 Mar 18 18:58:52 ip-XXX-XXX-XXX-XXX syslog-ng: syslog-ng starting up; version='3.3.4' Mar 18 18:58:53 ip-XXX-XXX-XXX-XXX syslog-ng: EOF on control channel, closing connection; parsing实用程序build立在python上,所以我想知道这是否是相关的: syslog-ng不会将pipe道刷新到外部程序 正在使用program()来源失去了原因? 我应该先写入一个文件,然后使用该源驱动程序?
我们正在运行带有多个lxc容器的CentOS 6服务器。 对于系统日志logging,我们使用syslog-ng。 过了一会儿,syslog-ng守护进程停止logging消息,但守护进程继续运行。 这发生在主机和容器内(另一个syslog-ng正在运行)。 我们还找不到任何失败的模式,但我们认为它与lxc有关,因为我们在其他主机上没有这些问题。 我们怀疑在lxc-container运行多于lxc-container的时候会出现这些问题,只有“new”进程不能login。 我们正在运行以下软件版本: CentOS-Linux 6.4 / 6.5 LXC-0.7.5 syslog-ng的-3.2.5 你有什么想法? 最好的问候trademesh