使用Ubuntu 10.04.4 LTS和Squid3我想login到syslog-ng 编辑/etc/squid3/squid.conf并添加以下行: access_log syslog squid 正在编写日志,但程序名称“squid”正被添加到括号中,而对于其他日志,程序名称不是 Jul 25 17:26:23 ubuntuserver kernel: Jul 25 17:26:24 ubuntuserver named[1231]: Jul 25 16:17:56 ubuntuserver (squid): 我假设这是squid3告诉系统日志ng“我的程序名是(鱿鱼)”,我无法find任何地方configuration不同,因为我想删除括号。 在syslog-ng的configuration文件中,我已经有了输出日志的function,而$ PROGRAMmacros也包含了括号,表示它来自鱿鱼,因为这个页面表示如下: http : //www.balabit.com/网站/默认/文件/文件/ syslog-ng的pipe理员,guide_en.html / reference_macros.html 程序:发送消息的程序的名称。 请注意,$ PROGRAMvariables的内容可能不是完全可信的,因为它是由构build消息的客户机程序提供的。 我怎样才能删除括号?
我有3个与Ubuntu的12.04亚马逊EC实例 生产服务器(没有MYSQL,syslog-ng客户端的LAMP服务器) 开发服务器(LAMP w / MYSQL,syslog-ng客户端) logging服务器(syslog-ng服务器) 我连接到所有这些使用ssh连接,每个这些都有AIDE Logwatch安装,对于防火墙我使用UFW和iptables 我的问题是: 如何发送从2服务器的所有日志到我的日志logging服务器? 我有所有的私人IP地址,我想用syslog-ng来使用它们。 我已经给出了防火墙规则来打开syslog-ng端口,并且只允许来自生产服务器和开发服务器的连接。 但是他们都没有发送日志。 我究竟做错了什么?
我想让nginx直接login到piwik。 我有问题得到rsyslog来接受一些syslog ng语法。 rsyslog文件说syslog-ng conf是兼容的。 source s_nginx_20 { pipe("/var/lib/nginx/access.log" program_override("nginx-access-log")); }; filter f_nginx_20 { match("nginx-access-log" value("PROGRAM")); }; destination d_piwik { program("/path/to/piwik.sh" template("$MSG\n")); }; log { source(s_nginx_20); filter(f_nginx_20); destination(d_piwik); }; 以上结果是: Mar 3 02:05:21 CentOS-65-64-minimal kernel: imklog 5.8.10, log source = /proc/kmsg started. Mar 3 02:05:21 CentOS-65-64-minimal rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="24662" x-info="http://www.rsyslog.com"] start Mar 3 […]
我正在尝试跨networking(互联网)转发系统日志和事件日志。 Win Computer —-| (There will be multiples of these forwarding to a single source) Win Server ——| >> Internal Syslog Server >> || >> External Syslog Server >> Splunk Win Server ——| Win Router ——| 我想知道如何实现这一点(我可以把日志到内部系统日志服务器),但我的问题是确保所有来自内部服务器的日志保持可信,当他们得到splunk没有被看起来相同改变。 也可能需要encryption。 将有4-5个不同的内部系统日志服务器转发到这个外部源。 所以我的问题是,我是否与rsyslog,syslog-ng等去?还是我去VPN内部系统日志服务器通过VPN转发事件? 如果使用encryption/ TCP的系统日志转发更好,那么是否有可能/可行?
我在我的虚拟机上安装了Snort IDS和syslog-ng,我想用syslog-ng把我的日志转发到另一个SecurityOnion的vm。 所以我想知道可以syslog-ng将日志转发到SecurityOnion中的ELSA? 任何帮助将是伟大的。 谢谢
我通过syslog-ng将系统上的所有事件logging到JSON文件中: destination d_json { file("/var/log/all_syslog_in_json.log" perm(0666) template("{\"@timestamp\": \"$ISODATE\", \"facility\": \"$FACILITY\", \"priority\": \"$PRIORITY\", \"level\": \"$LEVEL\", \"tag\": \"$TAG\", \"host\": \"$HOST\", \"program\": \"$PROGRAM\", \"message\": \"$MSG\"}\n")); }; log { source(s_src); destination(d_json); }; 该文件由logstash (2.0 beta)监视,该内容将内容转发给logstash (2.0 RC1): input { file { path => "/var/log/all_syslog_in_json.log" start_position => "beginning" codec => json sincedb_path => "/etc/logstash/db_for_watched_files.db" type => "syslog" } } output […]
我试图设置syslog-ng来正确parsingRFC5424-编译消息,迄今为止,收效甚微。 根据syslog-ng文档, syslog-ng OSE应用程序可以自动parsing符合RFC3164(BSD或legacy-syslog)或RFC5424(IETF-syslog)消息格式的日志消息。 如果syslog-ng OSE无法parsing消息,则会导致错误。 这表明syslog-ng不需要额外的参数来实际parsing这些消息。 但是,它不是。 这里是我的syslog-ngconfiguration的相关部分: template remote_message { template("${R_ISODATE} s=${SDATA} mesg=${MSGONLY}\n"); }; source s_remote { tcp(port(514)); syslog(transport(tcp)); }; destination d_remote { file( "/var/log/remote.log" owner(root) group(root) create_dirs(yes) template(remote_message) ); }; log { source(s_remote); destination(d_remote); }; 服务器在端口514上侦听,并从远程源获取日志,但是根本不分析它们。 发送以下消息(从RFC文本复制): <165>1 2003-10-11T22:14:15.003Z sender.computer.org evententry – ID47 [exampleSDID@32473 iut="3" eventSource="Application" eventID="1011"] Test message 会生成以下日志条目: 2016-04-26T16:22:31+02:00 s= […]
我运行带有rsyslog的RHEL服务器来收集我的networking日志,并通过接收安全公告提示我必须升级此服务器。 什么是升级这台机器的战略,知道许多其他机器的日志依赖于这个和操作系统更新可能是我们面临许多重新启动? 当rsyslog没有运行时,其他机器的configuration是什么。 注意:我补充说syslog客户端是设备,某种SMG。 并且众所周知的是,该设备在configuration侧和调整参数上受到限制。
我目前正在使用一个相当老的版本的syslog-ng,2.1.4,是的,我知道我需要尽快更新,但现在我需要帮助修改date/时间格式和时区。 目前,一切都进入syslog-ng并被转储到本地目录或通过UDP发送到另一个设备。 正常的日志格式是: 5月1日00:00:08 host_name.domain.com以下是完整的信息 对于我正在转发日志的一个设备,他们希望所有时间格式都是UTC,而不是“May 1”,他们希望它是“May 01”。 destination d_test {udp(“remote_host.domain.com”port(514)spoof_source(yes)time_zone(“UTC”)); }; 当我这样做,我得到以下错误,日志时间不会更改为接收主机。 伪造时区规范,必须格式为[+ – ] HH:MM,偏移量必须小于24:00; 值= 'UTC' 有没有其他的方法来修改? 至于2符号date格式,我已经尝试了几个模板选项,但还没有能够获得最初的部分来改变呢。 任何帮助将不胜感激。
我正在通过一些syslog-ng文档阅读,并在有关过滤function的部分,它说, program()filter匹配… …消息通过使用正则expression式对日志消息的程序名称字段。 该文档还包含其他filterfunction的类似定义。 日志消息中的程序名称字段如何设置? 是否有一些文件介绍了各个领域的情况? 我在我的文档(“syslog-ngpipe理员指南”)中找不到它。