在本地日志输出中,我可以看到debugging消息,但这些消息不会显示在远程日志logging服务器上。 它似乎忽略这些,但它打印警告和错误级别的消息就好了。 这些是本地(Ubuntu 14.04.2 LTS)syslog-ng.conf条目: # This is the default behavior of sysklogd package # Logs may come from unix stream, but not from another machine. # source s_src { system(); internal(); }; destination d_net { udp("1.2.3.4"); }; log { source(s_src); destination(d_net); }; s_src也用于本地日志logging,所以它似乎包含debugging消息。 这是日志服务器的(Debian 6.0)configuration: destination df_remote { file( "/var/log/remotelogs/from_$HOST" create_dirs(yes) owner(root) group(root) perm(0644) […]
ng 3.6.3从CentOS 6.6 64位的源代码编译来玩,并想知道是否有人有指针或例子syslog-ng.conf尽可能接近复制默认的rsyslog文件名和位置进行日志logging。 默认的源码tarball /usr/local/etc/syslog-ng.conf只在/usr/local/etc/syslog-ng.conf中提供 # Default syslog-ng.conf file which collects all local logs into a # single file called /var/log/messages. # @version: 3.6 @include "scl.conf" source s_local { system(); internal(); }; source s_network { udp(); }; destination d_local { file("/var/log/messages"); }; log { source(s_local); # uncomment this line to open port 514 to […]
我想在我的LAN上的主机和我的DMZ中的主机之间设置syslog-ng,但不能完全弄清楚configuration。 stunnelconfiguration似乎是正确的。 如果我在两台机器上closures了系统日志,我可以在dmzhost上运行nc -l 5140 ,并使用telnet通过LAN端的通道连接。 在任何一个连接上键入文本都会在两台机器上回显。 当我在任一台机器上启动syslog-ng时,出现有关已经使用的地址和连接被拒绝的错误(111) 。 我读过stunnel需要在syslog-ng之前启动,但似乎并不重要,因为它无法通过任何方式。 我试图用下面的configuration来澄清。 有什么想法吗? 局域网日志服务器(stunnel) # /etc/stunnel/dmz.conf client = yes cert = /etc/stunnel/dmz/stunnel.pem pid = /var/run/stunnel4/dmz.pid [lan] # connect port 55514 on the remote end to LAN localhost on port 5140 connect = dmzhost.ip.addr:55514 accept = 127.0.0.1:5140 局域网syslog-ngconfiguration # /etc/syslog-ng/syslog-ng.conf # dump data from port 5140 to […]
我正在努力在我的环境中实现syslog-ng OSE。 最后,我想build立一个中央日志logging服务器,但为了让我的脚湿,我开始一个简单的configuration。 我创build了一个包含单个源,单个目标和单个日志的configuration。 当我执行syslog-ng -F (作为通过cli的前台进程)时,我得到了预期的结果(所有的系统消息都被logging到/ var / log / messages)。 但是,如果我作为守护进程(通过systemctl)运行它,我没有收到所有预期的系统消息。 奇怪的是,我还在接收来自内核设备的消息。 这是我的简单configuration: @version:3.5 @include "scl.conf" source s_sys { system(); internal(); }; destination d_mesg { file("/var/log/messages"); }; log { source(s_sys); destination(d_mesg); }; 正如你所看到的,我没有设置任何filter。 我已经validation,该服务正在通过systemctl status syslog-ng运行,它是。 我已经确定并停止并删除所有其他日志守护进程。 syslog-ng.service – System Logger Daemon Loaded: loaded (/usr/lib/systemd/system/syslog-ng.service; enabled; vendor preset: enabled) Active: active (running) since […]
我正在尝试安装syslog-ng和它的kafka模块。 我正在使用dockerdebian:最新的,如果这件事。 运行'apt-get install syslog-ng'后,syslog-ng无法访问kafka模块,即使它们都是按照我在dpkg -l可以看到的方式安装的: ii syslog-ng 3.8.1-1 all Enhanced system logging daemon (metapackage) ii syslog-ng-core 3.8.1-1 amd64 Enhanced system logging daemon (core) (…) ii syslog-ng-mod-java 3.8.1-1 amd64 Enhanced system logging daemon (Java destination) ii syslog-ng-mod-java-common-lib 3.8.1-1 amd64 Enhanced system logging daemon (Java module common library) ii syslog-ng-mod-journal 3.8.1-1 amd64 Enhanced system logging daemon […]
几乎每次syslog-ng写入当前日志文件时,都会在6天前触及日志文件。 它不会将任何数据写入旧的日志文件,只是更新上次修改的时间戳。 日志文件的屏幕截图 我不是100%确定为什么它停止更新最近两天中午前的26日和27日文件上次修改的时间戳,但我认为这可能只是巧合。 在最近两天的这段时间,我重新启动了syslog-ng服务和VMware主机的系统日志服务,可能已经停止触摸旧文件。 话虽如此,我今天早上又重新启动了服务,现在还在发生。 我们目前正在从24个VMware主机获取日志。 每台主机的日志文件每天都会以一个新文件存储在自己的目录中。 这只发生在一台主机的日志文件上。 所有的主机名都非常相似(group1-esx01 … 08,group2-esx01 … 08,group3-esx01 … 08),所以它似乎不是一个过滤问题,解释了为什么它只发生在一个文件夹中的日志。 我们使用默认的syslog-ng.conf文件,并把我们的configuration放在conf.d目录下的一个文件中。 该文件看起来像这样: #Global network listener source s_network { network( ip("1.1.1.1") port(1514) max-connections(100) transport("tls") tls( key_file("/etc/syslog-ng/cert/PrivateKey.pem") cert_file("/etc/syslog-ng/cert/PublicKey.pem") peer_verify(optional-untrusted) ) ); }; #VMware #Dir for each host, file for each day. destination d_vmware { file( "/var/log/vmware/$HOST/$YEAR$MONTH$DAY.log" perm(0644) create_dirs(yes) ); }; #Only […]
有如下的思科路由器日志 Sep 18 20:55:30 2405:XXX:204:XXX:172:22:XXX:25 93596: 093382: Sep 18 20:53:17.848 IST: %TCP-6-BADAUTH: No MD5 digest from 2405:XXX:201:201:XXX:22:193:30(179) to 2405:XXX:201:XXX:172:22:XXX:25(15616) (RST) tableid – 0 我想要使用系统日志为每个日志键值对: "@timestamp": "Sep 18 20:55:30", "host": "2405:XXX:204:XXX:172:22:XXX:25", "seq_no1": "93596", "seq_no2": "093382", "@timestamp1": "Sep 18 20:53:17.848", "protocol": "TCP" "severity": "6" "message": "BADAUTH", "msg": "575387: No MD5 digest from 2405:XXX:201:201:XXX:22:193:30(179) to 2405:XXX:201:XXX:172:22:XXX:25(15616) (RST) tableid […]
我知道date -s <STRING>命令设置stringSTRING描述的时间。 我想要的是每当它被用来设置时间到文件/tmp/log/user.log时logging上面的命令。 在我的Linux发行版中,日志logging由syslog-ng 。 我已经有一些日志进入/tmp/log/user.log 。 这是我系统中/etc/syslog-ng/syslog-ng.conf的内容,用于login到/tmp/log/user.log destination d_notice { file("/tmp/log/user.log");}; filter f_filter10 { level(notice) and not facility(mail,authpriv,cron); }; log { source(s_sys); filter(f_filter10); destination(d_notice); }; 我应该怎么做,以便date -s命令也login到/tmp/log/user.log
有时,syslog-ng将从日志logging到文件消息更改为附加时间戳的文件名,如messages.yyyymmddhhmm。 当然,这会破坏我正在审查消息中的传入日志的任何事情。 这在Ubuntu 10.04.3 LTS和syslog-ng 3.1.2-1〜lucid1上。 在syslog-ng 2.0.9-4.2上有同样的问题。
我有大量的现有数据存储在NAS上的文件(存储在分层date目录中,我认为不重要)。 这些目录仍在写入。 我创build了一个新的syslog-ng文件()来处理这些数据。 然而,当我启动syslog-ng服务时,它开始处理数据(从数年前开始)。 处理所有这些数据需要很长的时间,而且无用。 我希望syslog-ng只能处理添加到NAS上目录的新数据。 将存储在syslog-ng.persist中的指针直接设置到文件末尾。 这可能吗?