我正在尝试跨networking(互联网)转发系统日志和事件日志。 Win Computer —-| (There will be multiples of these forwarding to a single source) Win Server ——| >> Internal Syslog Server >> || >> External Syslog Server >> Splunk Win Server ——| Win Router ——| 我想知道如何实现这一点(我可以把日志到内部系统日志服务器),但我的问题是确保所有来自内部服务器的日志保持可信,当他们得到splunk没有被看起来相同改变。 也可能需要encryption。 将有4-5个不同的内部系统日志服务器转发到这个外部源。 所以我的问题是,我是否与rsyslog,syslog-ng等去?还是我去VPN内部系统日志服务器通过VPN转发事件? 如果使用encryption/ TCP的系统日志转发更好,那么是否有可能/可行?
我有一个系统日志服务器,根据主机名分隔日志信息。 它可以分离消息,如果它在“local1”设施。 我有一个邮件服务器,发送邮件到'邮件'设施。 我想将这些消息转发到“local1”,保留主机上的原始邮件。*日志,然后将其发送到系统日志服务器。 有什么(简单)的方法可以将邮件复制到“local1”设施? 谢谢! 编辑: 我能想到的只是调用这样的命令(虽然由于某种原因,这是行不通的) $template LoggerTempl," -p local1.%SYSLOGSEVERITY-TEXT% -t %SYSLOGTAG% \"%TIMESTAMP% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\"" mail.* ^/usr/bin/logger;LoggerTempl
我正在迁移我的旧Squid(Debian 7.8中的2.7到CentOS 6.6中的3.1) 我需要将日志发送到位于另一台机器上的系统日志服务器 我将下面的configuration添加到新的服务器 logformat S2combined %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %[un %Sh/%<A %mt "%{Referer}>h" "%{User-Agent}>h" access_log /var/log/squid/access.log S2combined access_log udp://192.168.4.63:514 S2combined 这个configuration在旧的服务器上工作正常,但在新的服务器上,squid不会启动。 我用-d 10选项运行了鱿鱼,它在stdout中显示了我: FATAL: Cannot open 'udp://192.168.4.63:514' for writing. The parent directory must be writeable by the user 'squid', which is the cache_effective_user set in squid.conf. 有没有人有任何线索? 我一直在检查鱿鱼cachingconfiguration参考鱿鱼3.1,这个configuration似乎是确定的 提前致谢
我想将日志logging日志logging到一个文件中,以便以后可以将其取出并发送到Logstash。 我想到了运行syslog-ng,并使其成为journald的客户端,所以我会得到syslog文件。 我在CoreOS机器上使用了Docker容器,所以我尝试在CoreOS docker主机中运行syslog-ng作为容器,创build一个执行容器的systemd单元。 我跟着这个页面来获取systemd中的syslog ,但是如果我试图让我的syslog-ng容器直接从主机的syslog套接字中读取(通过挂载一个docker卷),它会抱怨“Address already in use”。 所以我有日志logging,一个运行syslog-ng的容器,但我不知道如何在syslog-ng中获取日志logging日志。 我的备选解决scheme是将日志文件logging到文件中,以运行执行journalctl -f –json | tee -a /var/log/systemd的systemd单元 journalctl -f –json | tee -a /var/log/systemd ,但是我不确定这个解决scheme的可靠性。 这是一个很好的解决scheme吗?
我通过syslog-ng将系统上的所有事件logging到JSON文件中: destination d_json { file("/var/log/all_syslog_in_json.log" perm(0666) template("{\"@timestamp\": \"$ISODATE\", \"facility\": \"$FACILITY\", \"priority\": \"$PRIORITY\", \"level\": \"$LEVEL\", \"tag\": \"$TAG\", \"host\": \"$HOST\", \"program\": \"$PROGRAM\", \"message\": \"$MSG\"}\n")); }; log { source(s_src); destination(d_json); }; 该文件由logstash (2.0 beta)监视,该内容将内容转发给logstash (2.0 RC1): input { file { path => "/var/log/all_syslog_in_json.log" start_position => "beginning" codec => json sincedb_path => "/etc/logstash/db_for_watched_files.db" type => "syslog" } } output […]
我有一个logrotate脚本,它被构造为轮转syslog收集的日志。 该脚本的一部分是重新加载syslog进程。 问题是系统日志重新加载运行每个匹配的日志文件它旋转,并有大约100个。 在所有单独的日志处理之后,如何设置logrotate脚本来重新加载syslog进程一次? /logs/* { daily rotate 7 compress postrotate /etc/init.d/syslog-ng reload 2>/dev/null endscript }
我有几个路由器,交换机和防火墙发送日志到系统日志服务器,而不会干扰控制台线。 我在没有syslog服务器的远程位置testingASA 5506(运行IOS 9.5.2),所以我试图使用“logging缓冲”解决VPN问题,当我运行以下 no logging console logging buffered debug debug crypto isa 127 debugging消息开始垃圾邮件控制台线,我需要重新启动ASA进行任何更改。 ( terminal没有监视器给我一个监视器选项不支持控制台 我以为'logging缓冲'命令只应该login到内部缓冲区? 然后我可以看看他们。 这里发生了什么? 任何帮助表示赞赏。 编辑:添加日志控制台错误或日志logging控制台紧急情况没有帮助。 编辑: sh run | 公司日志给了我这个输出 logging console emergencies logging buffered debugging logging asdm informational
如果有我的日常cron lograte /etc/cron.daily/logrotate — assume cron.daily is run at 1.05am daily 如果我的logrotateconfiguration有一个 weekly 设置 这是否意味着我的logrotate将每天运行,但日志只能每周轮换? 和每周以来/什么时间? – (自日志文件创build时间或自上次运行logrotate以来)?
试图通过syslog只转发我审计的事件,但我不知道使用哪个设施。 我不想把所有东西都发送到我的系统日志服务器,因为它会在日志中创build冗余。 我已经将audispd syslog插件设置为活动状态,并且据我所知,应该使auditd使用syslog来logging事件。 现在我所要做的就是为auditd的事件设置正确的工具,以转发到我的日志logging服务器。 请让我知道,如果我错了如何做到这一点。 *我正在CentOS 7上试一试
我想将dhcpd中的所有消息redirect到他们自己的日志文件,而不是让它们出现在/ var / log / messages中。 当我在/etc/syslog.conf中放置以下行时: !dhcpd *.* /var/log/dhcpd.log 这些消息被redirect到dhcpd.log,但他们仍然要去/ var / log / messages。 从/ var / log / messages中排除它们的语法是什么?