我正在尝试在CentOS 6.5上为Cisco路由器和交换机设置一个集中的rsyslog服务器。 在思科设备上,我设置了正确的date/时间和启用的时间戳,通过端口514上的TCP通过TCPlogging到服务器,将设备设置为local4路由器,local5设置交换机,并捕获debugging进行testing。 在/etc/rsyslog.conf中,我启用了TCP并设置了local4。*以logging到/var/log/cisco/routers.log和local5。*以logging到/var/log/cisco/switches.log。 我检查了SELinux,并没有报告任何违规行为。 我已经testing防火墙(端口514允许通过)和iptablesclosures。 我可以看到连接已经build立,tcpdump显示系统日志数据包正在进入服务器,但syslog不logging任何文件。 它不会将收到的任何内容logging到/ var / log / messages中。 当我用UDPtesting时,它工作得很好。 这是没有修改$ AllowedSender。 任何想法可能是什么问题?
1)根据您的经验,rsyslog的RELP日志传输格式是否需要大量的资源,而不是简单的TCP syslog传输使用的资源? (CPU,磁盘I / O,networking) 2)IYHO,是TCP系统日志传输如此不可靠? 现在我问,你怎么比较这两个对UDP系统日志传输? 谢谢!
我在SLES 10上使用了syslog-ng 1.6.8 。在这台机器上,我需要将所有事件转发到远程主机10.30.38.115。 但是,初步我必须改变一些信息,添加“MyMark”前缀的事件结束。 我尝试了以下内容: source src { internal(); unix-dgram("/dev/log"); }; destination editredirect { udp("10.30.38.115" port(514) template("<$PRI> $DATE $HOST $MSG MyMark\n") ); }; log { source(src); destination(editredirect); }; 但它不起作用。 在远程主机上,我根本没有收到这些消息。 真相告诉我,即使我删除模板,我也不会收到他们。 远程主机被configuration为接收传入的消息,它确实如此。 所以,我的问题是如何调整syslog-ng.conf以便在将消息发送到远程主机之前更改消息。 更新:解决 这里是如何组织redirect: 远程机器: source src { # # include internal syslog-ng messages # note: the internal() soure is required! # internal(); […]
在log_syslog_full操作模式设置完成后,您会看到下面的输出。 有人可以向我解释大胆的部分是什么? 我一直在search,找不到解释新的文件输出格式的任何文件。 | [SNORTIDS[LOG]: [IDS1] ] || 2012-11-28 20:31:31.747+-06 1 [1:2803567:3] ETPRO POLICY Suspicious User-Agent (LuaSocket) || trojan-activity || 6 69.2.42.86 64.129.104.173 **5 0 0 146 38060 0 0 3635 0** || 41848 80 **4082109343 3023118530 8 0 24 32768 39439 0** || **160 00000C07AC050023EBABC57A08004500009294AC0000FF060E3345022A56408168ADA3780050F3500B9FB43120C2801880009A0F00000101080A3198E2CD00000000686F73743A20757064617465732E69726F6E706F72742E636F6D0D0A757365722D6167656E743A204C7561536F636B657420322E300D0A74653A20747261696C6572730D0A636F6E6E656374696F6E3A20636C6F73652C2054450D0A0D0A** ||
我无法让iptableslogin到任何文件。 我的iptables看起来像: Chain INPUT (policy ACCEPT 1366 packets, 433582 bytes) pkts bytes target prot opt in out source destination 869 60656 LOG icmp — venet0 * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 Syslogd是唯一的日志助手运行。 默认的syslog.conf不起作用,所以我尝试添加“kern。= debug – / var / log / iptables.log”。 但该文件已经有“kern。* – / var / log / kern.log”。 有最近的syslog条目,所以它不是一个权限的事情。 我使用2.6.32-042stab061.2运行Ubuntu 12.04.1
当我试图从rsyslog发送日志到syslog-ng时,主机名正在变短。 而不是inbound.server.com,即使在接收端启用了FQDN选项,我也只能在syslog-ng端接收入站信息。 当我使用syslog发送日志时,syslog-ng服务器工作正常,所以在发送端有一些问题。 我如何在rsyslog的模板中专门指定编写完整的主机名? 我也做了一个ML的post ,他们说要添加一个自定义模板。 我对rsyslog完全陌生,刚开始阅读文档,所以不知道该怎么做。
我build立了一个中央远程系统日志服务器,在那里我发送所有的日志。 将有许多机器login到系统日志服务器。 在客户机上,在rsyslog.conf中,我试图修改主机名。 我知道我可以使用以下来更改logging器主机名称。 $LocalHostName foo 不过,我希望能够根据某个环境variablesdynamic修改本地主机名。 if [[ -z $FOO ]]; then $LocalHostName "$FOO foo" else $LocalHostName "$FOO foo" fi rsyslog以文字string"$FOO foo"作为新的主机名。 我也可以select编写一个脚本来修改rsyslog.conf文件并更新localhostname的值。 但是有没有办法在rsyslog中dynamic生成主机名?
我有syslog-ng运行,但似乎没有logging到/ var / log了。 看着它显然习惯了一段时间的日志: -rw——- 1 root root 0 Sep 8 00:55 messages -rw——- 1 root root 569157 Sep 4 01:27 messages.1 -rw——- 1 root root 55402 Sep 1 00:55 messages.2.gz -rw——- 1 root root 55488 Aug 25 00:55 messages.3.gz -rw——- 1 root root 56132 Aug 18 00:55 messages.4.gz 我有它运行: root 419 1 0 […]
我是新的configurationrsyslog集中日志logging,并想知道如果你的专家之一,可以帮我解决以下问题。 我正在尝试将每个远程主机的日志存储到每个主机目录。 除了maillog,这工作得很好。 出于某种原因,maillog进入了特定主机的定义目录,但是也为所有运行邮件的主机写入/ var / log / maillog。 有什么特定的configuration会导致日志被写入多个地方? 这是我的remote-hosts.conf文件 $ModLoad imtcp $InputTCPServerRun 514 $DirGroup root $DirCreateMode 0755 $FileGroup root $template PerHostAuth,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/auth.log" $template PerHostCron,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/cron.log" $template PerHostSyslog,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/syslog" $template PerHostDaemon,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/daemon.log" $template PerHostKern,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/kern.log" $template PerHostLpr,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/lpr.log" $template PerHostUser,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/user.log" $template PerHostMail,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/mail.log" $template PerHostMailInfo,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/mail.info" $template PerHostMailWarn,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/mail.warn" $template PerHostMailErr,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/mail.err" $template PerHostNewsCrit,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/news.crit" $template PerHostNewsErr,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/news.err" $template PerHostNewsNotice,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/news.notice" $template PerHostDebug,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/debug" $template PerHostMessages,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/messages" auth,authpriv.* ?PerHostAuth […]
我build立了一个可以从客户端接收消息的Rsyslog服务器。 问题是,一切都连接到/ var / log / syslog,所以我试图build立一个过滤服务器端。 我在/etc/rsyslog.conf的末尾添加了这一行: if $fromhost-ip == '123.123.123.123' then /var/log/clientA.log 但它根本不起作用(即使我用!=replace== !=这真的很奇怪)。 当然我不会忘记重新启动服务。 任何想法的欢迎。