Вопросы Теги

Фильтр Rsyslog для регистрации событий маршрутизатора (сервер syslog)

Я пытаюсь настроить rsyslog (сервер Ubuntu 12.04) для регистрации событий с маршрутизатора. Я нашел это старое сообщение на форуме Ubuntu , которое дало мне большую часть пути туда.

Пока что я могу регистрировать события с маршрутизатора. Однако, поскольку я не зарегистрировался в /var/log/syslog, я пытаюсь настроить рабочий фильтр в /etc/rsyslog.conf, чтобы поместить зарегистрированные события в /var/log/linksys.log. Вот где у меня проблемы.

  • Сначала я попытался выполнить фильтрацию по IP-адресу маршрутизатора следующим образом: 

    :fromhost-ip, isequal, "192.168.2.1" /var/log/linksys.log
& ~

    Это успешно перенаправляет журналы, как я хотел, единственная проблема в том, что я не получение любых SSHD логов в auth.log. Излишне говорить, что это неприемлемо.

  • Затем я попытался выполнить фильтрацию по имени маршрутизатора, которое появляется в каждом журнале событий: 

    :msg,contains, "RV042" /var/log/linksys.log
& ~

    Хотя это не регистрирует и не блокирует что-либо.

Так что я в тупике. Я понятия не имею, почему SSHD фильтруется фильтром :fromhost-ip. SSHD локально на машине с rsyslog (192.168.2.2). Я полностью разочарован этим, любые предложения очень ценятся.

4
задан 12 June 2012 в 10:23

2 ответа

Я понял это! Эти ссылки помогли:

http://www.rsyslog.com/tag/udp/

http://www.rsyslog.com/doc/multi_ruleset.html

Вот то, что я сделал:

Открытый /etc/rsyslog.d/50-default.conf и наверху файла, перед другими всеми фильтрами по умолчанию, я добавил:

# process remote messages
# define new ruleset and add rules to it:
$RuleSet remote
*.*           /var/log/linksys.log
# only messages not from 192.168.2.1 make it past this point

# bind ruleset to UDP listener
$InputUDPServerBindRuleset remote
# and activate it:
$UDPServerRun 514

# switch back to the default ruleset:
$RuleSet RSYSLOG_DefaultRuleset
3
ответ дан 12 June 2012 в 10:23

/etc/rsyslog.conf не тот файл, который нужно редактировать. Вы действительно хотите настроить отдельный файл .conf: 

$ sudo nano /etc/rsyslog.d/20-router.conf

Затем добавьте необходимую конфигурацию: 

:fromhost-ip, isequal, "192.168.2.1" /var/log/linksys.log
& ~

Это не должно смешивать любые другие записи журнала. Просто попробовал это сам и он отлично работает.

Спасибо http://nickhumphreyit.blogspot.co.uk/2012/09/how-to-setup-syslog-server-on-ubuntu.html за предоставленный мне ответ после предоставления на документацию.

Вы также можете добавить файл logrotate в /etc/logrotate.d/linksys: 

/var/log/linksys.log {
       daily
       rotate 7
       delaycompress
       compress
       notifempty
       missingok
}
0
ответ дан 12 June 2012 в 10:23

Другие вопросы по тегам:

Похожие вопросы: