使用UDP 514上的netcat监听syslog数据我看到每个发送的日志消息都由<134>分隔。 有没有人注意<134 >是什么?
我想收集来自nginx的日志(几台服务器,所有服务器上的日志logging为1000000行)到中央统计服务器进行统计处理。 我看到2个变种: 将日志写入每个服务器的本地日志文件 在每个服务器中重命名模板“DD.MM.YYYY HH”的日志并通过ssh向日志服务器发送日志,例如 将重新加载日志的信号发送到每台服务器上的nginx 使用系统日志传输(或其他 – 这可能autorename文件的模板“DD.MM.YYYY HH”?)发送日志到统计服务器 在stat服务器的内存中使用hadoop或临时目录来处理来自所有服务器的写入日志(在这种情况下哪种变体的生产效率更高?) 你能build议别的吗?
使用Nginx,Wordpress和Ubuntu 16。 我经常在kern.log , syslog and ufw.log中用这些消息轰炸 Nov 28 21:02:28 kernel: [246817.450026] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22334 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 Nov 28 21:02:31 kernel: [246820.443191] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22335 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 […]
我写了一个小的c应用程序,它使用syslog c接口来写信息(从man 3 syslog): void openlog(const char *ident, int logopt, int facility); void syslog(int priority, const char *message, …); void closelog(void); 我的问题是:我在/var/log/local0.log写消息给LOCAL0。 我也有cron在/var/log/local0.log上调用logrotate。 我注意到,在轮换之后,我的应用程序继续写入被轮换出来的文件,而不是新的/var/log/local0.log 。 用postrotate脚本解决这个问题的最好方法是什么? 容易,但不理想:完全重新启动rsyslog守护进程。 在我的应用程序中发送和处理SIGHUP。 这似乎是最合适的解决scheme。 但是我不确定当我得到HUP时我需要做什么。 我只需要调用closelog()然后openlog()?
openSUSE 11.2服务器上的/var/log/messages文件显示无效的时间戳。 具体来说,无论进程pipe理此文件,时区似乎都是closures的。 我不确定时间应该是在UTC还是在服务器的本地时区,但目前它们都不在。 例如:UTC时间是8:14,在服务器本地时间是9:14,但在/var/log/messages添加的新行的时间戳为7:14。 我怀疑这是fail2ban不禁止任何人的原因。 不同的进程正在向日志文件添加行,例如cron和sshd,并且都有无效的时间戳。 服务器的时间已经更新,服务器还没有重启,所以这可能是无效的时间戳的原因?
我将Solaris机器从syslogd移动到了syslog-ng,因为Solaris版本的syslogd会删除日志上的原始源主机名。 我正在浏览syslogng.conf文档,但不知道我完全理解这一切。 我们有一个相对简单的syslog.conf,我希望有一个syslog-ng专家可以告诉我如何将其转换为可行的syslogng.conf? #ident "@(#)syslog.conf 1.5 98/12/14 SMI" /* SunOS 5.0 */ # # Copyright (c) 1991-1998 by Sun Microsystems, Inc. # All rights reserved. # # syslog configuration file. # # This file is processed by m4 so be careful to quote (`') names # that match m4 reserved words. Also, within ifdef's, arguments […]
我们有IBM HTTP服务器(基于Apache 2.0),并希望将访问日志发送到syslog。 (除了可以工作的错误日志) 我们使用的configuration如下: ErrorLog "|/HTTPServer/bin/rotatelogs /archive/http/error_log.%Y%m%d 86400 | /usr/bin/logger -t httpd -plocal6.err" LogLevel warn LogFormat "%h %{True-Client-IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %D \"%{Host}i\" %v" combined LogFormat "%h %l %u %t \"%r\" %>s %b" common LogFormat "%{Referer}i -> %U" referer LogFormat "%{User-agent}i" agent CustomLog "|exec /usr/bin/logger -t ptseelm-ax3004 -i -p […]
我有一个运行的进程,把它的输出写入一个文件,就像这样。 processx > /var/log/processx.log 2>&1 我怎么会写/pipe/转发给rsyslog而不是(包括2>&1redirect)?
我在Windows 7中使用Cygwin设置了syslog-ng守护进程。我想要做的就是将所有ssh失败的密码等logging到/var/log/sshd.log 。 我试图通过添加以下行来做到这一点: auth.* /var/log/sshd.log 到/etc/syslog.conf 但是,所有的ssh信息都被logging到/var/log/messages而sshd.log是空的。 我一直在寻找networking很长一段时间,但无法find解决scheme。 帮助将不胜感激。
首先,感谢花时间看看这个问题,非常感谢。 我已经有连接rsyslog.confconfiguration运行了一段时间,直到今天,当我不得不重新启动rsyslog随着磁盘越来越满。 结果是rsyslog现在正在以所有先前的权限(当前root | root rw被testing安全)logging到一个新的位置(在.conf文件中被解压缩)。 我面临的问题是,无论我尝试,rsyslog不输出文件。 我运行了一个tcpdump,而且还在接收数据。 匹配标准(主机IP地址)不应该有变化,configuration也没有改变。 任何帮助,特别是我可以运行的debugging命令将不胜感激。 我宁愿学习一些新的东西(比如rsyslog),而不是卸载它,只是使用syslog-ng来代替…这里是configuration: ### Modules $ModLoad imtcp $ModLoad imudp $ModLoad imuxsock # provides support for local system logging (eg via logger command) $ModLoad imklog # provides kernel logging support (previously done by rklogd) ### Set log file permissions $FileOwner root $FileGroup root $FileCreateMode 0777 $DirCreateMode 0777 $Umask […]