我有一个设置,可以总结如下: service –> syslog-ng relay –> syslog-ng server 在syslog-ng服务器上,我将按如下方式组织日志: /var/log/ —-> syslog-ng server local log files… \–> ${FROM_HOST}/ \—> Syslog-ng relay host log files… \—> ${HOST}/ \—> Service log files… 在位于默认位置/ var / log的syslog-ng服务器上本地生成的日志 。 logging在继电器上生成的中继目录名为/ var / log / $ {FROM_HOST}的子目录中。 由服务在其关联的中继的子目录/ var / log / $ {FROM_HOST} / $ {HOST}中生成的日志 我在syslog-ng服务器主机上创build了以下configuration: @version: 3.7 […]
我想确保我的syslog-ng正在做asynchronous日志logging。 通过阅读文档,我看到file()目标的flush_lines()选项(如果未指定)将使用全局默认值。 然后,我看到全局设置默认为0,但没有解释这意味着什么。 设置为0时是否要进行同步logging? 是否会缓冲无限数量的行(每秒刷新flush_timeout()秒数)? 它会咬我吗?
我是Syslog-ng的新手。 沙发我部署它,它运行良好推动一些日志到MongoDB。 现在,我真正想要做的是将一些日志(例如/ var / log / secure)推送到MongoDb,同时将其他日志推送到文件系统,而忽略其他一组日志。 你们能帮我定义一个这样的configuration吗? 谢谢,马克斯。
所以前两天我问如何将php和nginx日志logging到集中的MySQL数据库 ,并且m0ntassar给了一个完美的答案:)加油! 我现在面临的问题是,我似乎无法得到它的工作。 syslog-ng版本: # syslog-ng –version syslog-ng 3.2.5 这是我的nginx日志格式: log_format main '$remote_addr – $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; syslog-ng源码: source nginx { file( "/var/log/nginx/tg-test-3.access.log" follow_freq(1) flags(no-parse) ); }; syslog-ng目的地: destination d_sql { sql(type(mysql) host("127.0.0.1") username("syslog") password("superpasswd") database("syslog") table("nginx") columns("remote_addr","remote_user","time_local","request","status","body_bytes_sent","http_ referer","http_user_agent","http_x_forwarded_for") values("$REMOTE_ADDR", "$REMOTE_USER", "$TIME_LOCAL", "$REQUEST", "$STATUS","$BODY_BYTES_SENT", "$HTTP_REFERER", "$HTTP_USER_AGENT", "$HTTP_X_FORWARDED_FOR")); }; […]
我想排除syslog-nglogging的一些消息,比如这个LDAP日志条目: Sep 18 15:18:34 myserver slapd[9682]: conn=1043 op=24 SEARCH RESULT tag=101 err=0 nentries=1 text= 我有这个系统日志ngfilter,我试图用来过滤这些消息: filter f_not_ldap { not match("slapd" value(PROGRAM)); }; log { source(s_udp); filter(f_not_asa); filter(f_not_dbg); filter(f_not_ldap); destination(d_messages); destination(d_logserver); }; 但是这些slapd条目仍然是我的远程日志服务器。 谁能告诉我我做错了什么? 我还需要做些什么来过滤掉这些slapd条目? 提前致谢。 编辑:这是整个syslog-ng.conf: @version: 3.3 @include "scl.conf" # Syslog-ng configuration file, compatible with default Debian syslogd # installation. # First, set some […]
我想收集来自nginx的日志(几台服务器,所有服务器上的日志logging为1000000行)到中央统计服务器进行统计处理。 我看到2个变种: 将日志写入每个服务器的本地日志文件 在每个服务器中重命名模板“DD.MM.YYYY HH”的日志并通过ssh向日志服务器发送日志,例如 将重新加载日志的信号发送到每台服务器上的nginx 使用系统日志传输(或其他 – 这可能autorename文件的模板“DD.MM.YYYY HH”?)发送日志到统计服务器 在stat服务器的内存中使用hadoop或临时目录来处理来自所有服务器的写入日志(在这种情况下哪种变体的生产效率更高?) 你能build议别的吗?
我正在浏览我的日志上papertail,我看到了这一点。 Jun 03 03:26:01 /USR/SBIN/CRON: (root) CMD (test -x /usr/sbin/anacron || ( cd / && run-parts –report /etc/cron.daily )) Jun 03 03:26:04 su: Successful su for www-data by root Jun 03 03:26:04 su: + ??? root:www-data Jun 03 03:26:04 su: pam_unix(su:session): session opened for user www-data by (uid=0) Jun 03 03:26:04 su: pam_unix(su:session): session closed […]
在我的办公室,我最近大声问道:“为什么不把这些日志redirect到/ dev / null而不是/ dev / lognull? 我被告知有(或有)一个原因,但没人能记住它。 我被告知,原因是在syslog-ng文档的某处,但到目前为止,我一直无法find它。 有人知道原因吗?
我将Solaris机器从syslogd移动到了syslog-ng,因为Solaris版本的syslogd会删除日志上的原始源主机名。 我正在浏览syslogng.conf文档,但不知道我完全理解这一切。 我们有一个相对简单的syslog.conf,我希望有一个syslog-ng专家可以告诉我如何将其转换为可行的syslogng.conf? #ident "@(#)syslog.conf 1.5 98/12/14 SMI" /* SunOS 5.0 */ # # Copyright (c) 1991-1998 by Sun Microsystems, Inc. # All rights reserved. # # syslog configuration file. # # This file is processed by m4 so be careful to quote (`') names # that match m4 reserved words. Also, within ifdef's, arguments […]
我们在中央系统日志服务器上使用syslog-ng(CentOS 5.9上的syslog-ng-2.1.4-9.el5)。 我们很高兴地使用syslogd和rsyslog从Linux和Solaris主机上通过UDP的混合发送日志,直到昨天终于明白我们正在失去大量的条目(是的,我应该注意到所有的警告)。 我试图改变使用TCP。 我很想(现在)坚持syslog-ng在中心和rsyslog发件人,我的理解是,这应该工作。 中央系统日志服务器有多个虚拟接口,用于按function分割日志集(这就是udp()和tcp()语句指定要绑定的IP地址的原因)。 我在syslog-ng一端启用了TCP侦听器(请参阅下面的configuration文件中提取的内容)–netstat -l显示端口514上的侦听器。作为testing,我在一台主机上更改了转发子句(CentOS 6.4 with rsyslog-5.8.10-6 .el6.x86_64)从@unixlog到@@ unixlog。 我看到数据包到达中央服务器并返回数据包(在unixlog上查看tcpdump),所以我认为我已经消除了iptables的问题,但输出文件中没有任何内容。 我只是试着关掉iptables一段时间来检查这个 – 同样的事情。 我还没有试过打开syslog-ng的debugging,因为这是一个繁忙的服务器 – 我的下一步可能是build立一个testingsyslog-ng服务器,并指向一个单一的主机。 在我这样做之前还有什么我应该看的? 我是否需要更改转发邮件的格式? 我对Syslog-ng 2.x文档的阅读表明,这应该没有任何改变。 我已经尝试更改rsyslog调用的兼容级别选项。 最初设置为5,我已经尝试了0 .. 4,并完全删除参数 – 行为没有差异。 Rsyslog.conf在发件人(注释和本地文件被删除)… $ModLoad imuxsock $ModLoad imklog $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat *.err;kern.debug;daemon.notice;mail.crit @unixlog.ncl.ac.uk local3.debug @cmdloghost.ncl.ac.uk 从unixlog上的rsyslog.conf中解压缩 options { long_hostnames(off); sync(0); create_dirs(yes); }; destination d_syslog { file("/var/log/incoming/syslogs/$HOST/syslog.$YEAR$MONTH$DAY.log"); }; # unixlog […]