Как я могу получить журналы системного журнала от сетевой системы?
Я хотел бы настроить Ubuntu для получения журналов из маршрутизатора DD-WRT. Экран конфигурации маршрутизатора содержит следующий раздел:
и его чтения документации входа:
Если Вы хотите отправить журналы в удаленную систему, введите IP-адрес той машины, которая также выполняет утилиту системного журнала (этому нужен сокет открытой сети для принятия журналов, отправляемых маршрутизатором).
Я (сознательно) никогда не использовал системный журнал прежде. Что я должен сделать в Ubuntu, чтобы позволить этому получать эти журналы?
3 ответа
Хост, получающий журналы, должен будет выполнять некоторого демона системного журнала, который настроен для прислушиваний к удаленным журналам. Существует много реализаций системного журнала в Ubuntu, но rsyslog обычно рекомендуется и должен быть установлен по умолчанию. Я не могу сказать из документации в ссылке, которую Вы отправили, если DD-WRT отправляет журналы через TCP или UDP, таким образом, это может потребовать, чтобы некоторое экспериментирование нашло точно корректные настройки, если Вы обеспокоены сокращением количества доступных для сети портов на Вашем хосте.
Существует два способа включить это: первое более просто, но может потребовать реинтеграции, когда система обновлена. Второе немного более сложно, и может вызвать запутывающие результаты, если существуют существенные изменения к конфигурации системного журнала как часть обновления. Я выбрал бы второе, но Ваше предпочтение может варьироваться.
Первое должно отредактировать /etc/rsyslogd.conf, и удалите начальную букву # от следующих строк:
#$ModLoad imudp #$UDPServerRun 514
или
#$ModLoad imtcp #$InputTCPServerRun 514
Второе должно создать новый файл, возможно, названный local-enable-tcp.conf в /etc/rsyslog.d/, со следующим содержанием:
# enable TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
Если Вы хотите использовать отдельный подход файла, и нуждаться в UDP, изменить содержание для соответствия строке файла конфигурации UDP выше. Определенное имя файла не важно, но рекомендуется запустить его с "локального -", поскольку это пространство имен резервируется для конфигурации локального администратора, и это должно закончиться ".conf", поскольку только файлы, заканчивающиеся как это, автоматически включены в rsyslog конфигурацию.
Если Вы предпочли бы использовать другую реализацию системного журнала, проверьте конфигурацию и документацию для той реализации: вероятно, что демон системного журнала настроен для не слушания в сети по умолчанию, но конфигурация в качестве примера для включения этого общего падежа должна быть ясно зарегистрирована.
В основном Вы выполняете демона (названный syslogd) на Вашем сервере для dd-wrt маршрутизатора к журналам сообщений к.
Учебное руководство - http://www.techiecorner.com/1479/how-to-setup-syslog-server-in-ubuntu/
Другая опция является системным-журналом-ng использования, простым в использовании, и до сих пор готовым пойти!
sudo apt-get install syslog-ng
После установки это мы имеем conf файл в/etc/syslog-ng/syslog-ng.conf Так, просто редактируем этот .conf с нашими параметрами, но перед этим, сделайте резервное копирование файла конфигурации по умолчанию, может быть полезным позже, если Вы хотите настроить некоторые параметры
sudo mv /etc/syslog-ng/syslog-ng.conf /etc/syslog-ng/syslog-ng.conf.bak
Теперь создайте новый файл конфигурации и отредактируйте его!
sudo touch /etc/syslog-ng/syslog-ng.conf
sudo nano /etc/syslog-ng/syslog-ng.conf
Так, просто вставьте эту основную конфигурацию для получения работы также:
# Listening to incoming UDP Syslog connections
source mysource { udp(); };
#Add the syslog targets:
destination dest { file("/var/log/Cisco$YEAR$MONTH$R_DAY.log"); };
#destination dest_other_server { udp("1.2.3.4" port(514)); };
#Create the filters that will be used to determine what to do with the received syslog message
#filter filter { ( host("2.3.4.5") and level(notice) and match("username=.*@domain\.local" value("MESSAGE") flags("utf8" "ignore-case")) ); };
filter myfilter { ( level(notice) ); };
#And putting it all together:
log { source(mysource); filter(myfilter); destination(dest); };
Легкий, как Вы видите.Береги себя!