出于某些原因,我们将系统日志事件从RHEL 6(使用rsyslog)redirect到RHEL 5(使用syslogd)。
在rsyslog.conf中的RHEL 6上:
*.* @10.30.46.211 在/ etc / sysconfig / syslog中的RHEL 5上:
SYSLOGD_OPTIONS="-r -m 0"
在RHEL 6上,事件看起来像(/ var / log / secure):
10月25日02:10:03 rh6q32 sshd [1849]:pam_unix(sshd:session):会话closures用户root
在RHEL 5上,相同的事件看起来像(/ var / log / secure):
10月25日02:10:03 rh6q32 rh6q32 sshd [1849]:pam_unix(sshd:session):会话已closures用户root
不同的是主机名(rh6q32)的双重使用。
问题:是否有可能摆脱双主机名?
谢谢你,尤里
不同之处在于,显然6是使用旧系统日志的rsyslog insteal。 您可以使用模板自定义rsyslog:
$template sysklogd,"<%PRI%>%TIMESTAMP% %syslogtag%%msg%" *.* @192.168.1.1;sysklogd
从kkoncepts.net
根据RFC3164 (yay标准),RHEL5系统日志不会发送“正确的”标头。 系统日志数据包中应该有一个主机名。 rhel5.x syslogd将源主机添加到传入的syslogstream量。
正如其他人所说,rsyslog被添加到RHEL 6.x,这是RFC3164兼容。 嘿presto你的syslogd最终添加一个已经在那里的主机字段。