我们有一个系统日志服务器,我们有我们所有的服务器logging到它。 我们需要一种对所有没有configuration规则的远程消息的“全面通用”drippan规则。 任何人都知道如何做到这一点?
如何在保留邮件大于或等于mail.warn的情况下从/ var / log / syslog(rsyslog.conf / Debian)过滤mail.info? 我已经试过几乎所有不同的mail, mail.info, mail.!info, mail.*, mail.warn, mail.!warn , mail, mail.info, mail.!info, mail.*, mail.warn, mail.!warn不同组合的变体,但显然这些文档比我更聪明。 目前我在这,但唉,她是一个不行: *.*;auth,authpriv.none;mail.warn,mail.!info -/var/log/syslog 编辑:我很难理解分号分隔符以及它如何“限制”以前的条目。
我正在尝试安装一个Windows 2008服务器,以便能够将事件日志消息发送到运行Linux的syslog-ng服务器。 我更喜欢本地的东西,但我想这是不可能的。 更新第一个答案build议使用网罗,到目前为止,这是我发现的最好的解决scheme,完全无痛的设置,并在不到五分钟的时间我login到我的系统日志ng服务器。 唯一的缺点(不是网罗故障)是日志以windows-1252字符集编码发送。 所以我不能tail -f它们,除非我改变字符集。 如果你正在使用syslog-ng,这可以通过创build一个新的源代码来解决,就我而言: source src_win { udp( ip("192.168.1.200") port(514) encoding("WINDOWS-1252")); }; 之后(并将新的来源分配到正确的地方),你将能够正确地看到你的Windows日志。 旧内容 环顾四周,我发现这个页面指出了一些解决scheme: http : //www.itbuzzer.net/corner/2008/10/how-to-send-windows-events-to-syslog.asp 系统日志代理( http://www.syslogserver.com/syslogagent.html ):这是最简单的select,但最后一次更新是从2008年 eventlog-to-syslog( http://code.google.com/p/eventlog-to-syslog/ ):它似乎是最新的,最近已经从普渡大学迁移到code.google.com ntsyslog( http://ntsyslog.sourceforge.net/ ):不能在Windows 2008server上运行,所以我不能使用那个。 有没有人有任何这些或其他的经验?
我正在使用munin,每次执行munin-node cron作业时都会在syslog中添加日志条目。 这不是一个问题,但有时会使其他错误发现困难。 有像这样的条目 Feb 28 07:05:01 li235-57 CRON[2634]: (root) CMD (if [ -x /etc/munin/plugins/apt_all ]; then /etc/munin/plugins/apt_all update 7200 12 >/dev/null; elif [ -x /etc/munin/plugins/apt ]; then /etc/munin/plugins/apt update 7200 12 >/dev/null; fi) 每5分钟,我想知道如何停止进入系统日志的消息。 对于慕宁特定的错误,我反正要留意/ var / log / munin / * 感谢Sparsh
我在/var/log/syslog看到很多以下行: Jun 21 14:36:15 my-server kernel: [416219.080061] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:the-mac-address:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=10081 PROTO=UDP SPT=68 DPT=67 LEN=308 这似乎发生在每一分钟。 这只是我的服务器试图广播的东西和我自己的iptables否认发生? 如果是这样,什么样的服务可以做这样的事情,我应该允许吗? 我在Ubuntu 12.04.2上运行Postgres 9.2.4,除了基本的预装软件包之外基本上没有其他的服务。
我正在按照这个博客中的步骤设置rsyslog + logstash + graylog2,我无法弄清楚如何使用mutate – > replacefilterreplacelogstash中的@source_host属性。 在例子中,作者用一个string值replace了他的@ source_host,但是我想使用在这种情况下parsing的实际值syslog。 mutate { type => loc1 replace => ["@source_host", "loc1"] } mutate { type => loc2 replace => ["@source_host", "loc2"] } 我如何真正维护我的日志中的原始源主机?
我在看dhcpd编写的一堆系统日志消息。 我想写一个快速的parsing器,可以将消息解构成其组成部分,但我不知道各个部分是什么意思。 我认为这是logging在某处,但我在谷歌简单的查询(如dhcpd syslog消息格式 )没有出现任何有用的文件。
我find了一些基于rsyslog日志条目内容的例子。 但有没有办法做到这一点,所以它只是过滤某个设施的内容? 比如像这样的东西: if local0.* msg contains "foo" 但用一个真正的语法,而不是我刚刚编造的。
操作系统:运行RHEL 5.6。 情况:我需要以不同于其他系统日志日志的方式轮换/ var / log / messagees。 默认情况下,系统日志日志基于/etc/logrotate.conf和/etc/logrotate.d/syslogconfiguration文件每周进行一次轮换。 如果您查看/etc/logrotate.d/syslog,您会发现所有日志都有一个logrotateconfiguration块。 如果我想让/ var / log / messages按不同的时间表旋转,我需要为它创build一个单独的configuration块。 这将导致重新启动syslogd两次(基于复制现有的configuration)。 问题:有没有办法在不同日程安排上轮换/ var / log / messages,而不必将HUP发送给syslogd两次? 或者这甚至很重要? 这里最好的做法是什么?
我想通过逗号将多行消息logging到系统logging器中 echo -e "foo\nbar" | logger 但它显示为2个日志。 是否可以logging为单个日志?