Questions tagged «rsyslog»

使用rsyslog为每个日志文件定义不同的权限是否可行？ $ FileCreateMode适用于所有对象，但我希望对特定文件具有不同的权限。

9 permissions  log-files  rsyslog 

在我的配置中，我有rsyslog负责以下对/home/user/my_app/shared/log/unicorn.stderr.logusing的更改imfile。使用TCP将内容发送到另一个远程日志记录服务器。 当日志文件旋转时，rsyslog停止将数据发送到远程服务器。 我尝试重新加载rsyslog，发送HUP信号并完全重新启动它，但是没有任何效果。 我发现真正可行的唯一方法是肮脏的： 停止服务，删除rsyslog统计文件，然后再次启动rsyslog。我的logrotate文件中的postrotate挂钩中的所有内容。 kill -9 rsyslog并重新开始。 有没有一种不接触rsyslog内部的正确方法？ Rsyslog文件 $ ModLoad标记 $ ModLoad imudp $ ModLoad imtcp $ ModLoad imuxsock $ ModLoad imklog $ ModLoad档案 $ template WithoutTimeFormat，“ [环境] [％syslogtag％]-％msg％” $ WorkDirectory / var / spool / rsyslog $ InputFileName /home/user/my_app/shared/log/unicorn.stderr.log $ InputFileTag unicorn-stderr $ InputFileStateFile stat-unicorn-stderr $ InputFileSeverity信息 …

9 linux  logrotate  rsyslog 

我有类似的日志条目： Apr 8 10:25:31 monitor postfix/smtpd[3131]: connect from localhost[127.0.0.1] Apr 8 10:25:31 monitor postfix/smtpd[3131]: lost connection after CONNECT from localhost[127.0.0.1] Apr 8 10:25:31 monitor postfix/smtpd[3131]: disconnect from localhost[127.0.0.1] 在所有本地/远程节点（Debian Squeeze，Rsyslog 4.6.4，Postfix 2.7.1都来自回购协议）的中央rsyslogd日志监视框中每分钟左右，我尝试/etc/rsyslog.conf通过注释掉以下行来禁用信息消息： #mail.info -/var/log/mail.info 并添加一行 *.*;auth,authpriv.none,cron.none,mail.none -/var/log/syslog 我以为会禁用从Postfix到的所有邮件记录/var/log/syslog，但这没有帮助。我搜索了其他mail.info mail.debug条目，但没有，只有一个条目，例如： mail.* -/var/log/mail.log 我也已经评论过，但是后来我认为那不应该导致登录/var/log/syslog，不是吗？

9 postfix  syslog  rsyslog 

我已经将Loggly设置为syslog警报，并且在syslog中反复收到以下错误。 command 'KLogPermitNonKernelFacility' is currently not permitted - did you already set it via a RainerScript command (v6+ config)? [v8.16.0 try http://www.rsyslog.com/e/2222 ] 运行Ubuntu 16.04.1 LTS 4.4.0-42-generic 否则服务器似乎运行正常。据我所知，这告诉rsyslog允许非内核事件进入syslog，这正是我想要的。我不确定。 也收到这个 Could not open output pipe '/dev/xconsole':: No such file or directory [v8.16.0 try http://www.rsyslog.com/e/2039 ] 我是一个非常非常不愿意的开发人员，在此先抱歉。 *编辑：重新启动了syslog服务，问题仍然存在。 *编辑：抑制了/ dev / xconsole错误，KLogPermitNonKernelFacility错误仍然存​​在。

9 rsyslog  ubuntu-16.04 

我/var/log/cron.log通过取消注释下面的行将我的crontab登录分开/etc/syslog.conf，但是它仍然写入/var/log/syslog！ cron.* /var/log/cron.log 我如何防止它写入/var/log/syslog？

9 logging  cron  rsyslog 

Rsyslog与Syslog配置文件向后兼容。 syslog.conf手册页包含： 您可以在每个条目前面加上减号``-''以在每次记录后省略同步文件。请注意，如果系统在写尝试之后立即崩溃，则可能会丢失信息。但是，这可能会给您带来一些性能，特别是如果您以非常冗长的方式运行使用日志记录的程序时。 但我找不到关于-登录的信息man rsyslog.conf。 如果读-入配置文件，rsyslog会做什么？

9 configuration  rsyslog 

背景：远程日志聚合被认为是提高安全性的一种方法。通常，这解决了危害系统的攻击者可以编辑或删除日志以破坏取证分析的风险。我一直在研究通用日志工具中的安全性选项。 但是有些不对劲。我看不到如何配置任何常见的远程记录器（例如rsyslog，syslog-ng，logstash）以验证传入消息确实是来自所声称的主机的。在没有某种策略约束的情况下，一个日志创建者可以代表另一个日志创建者伪造消息。 rsyslog的作者似乎警告要验证日志数据： 最后一个警告：transport-tls保护发送方和接收方之间的连接。它不一定能防御消息本身中存在的攻击。特别是在中继环境中，该消息可能源自恶意系统，该恶意系统将无效的主机名和/或其他内容放入其中。如果没有针对此类情况的配置，则这些记录可能会显示在接收者的存储库中。-transport-tls不能防止这种情况的发生（但是如果正确使用它可能会有所帮助）。请记住，syslog-transport-tls提供了逐跳安全性。它不提供端到端的安全性，并且不对消息本身（仅是最后一个发送者）进行身份验证。 因此，后续问题是：什么是可以提供一定程度真实性的良好/实用配置（在您选择的任何常用日志工具中-rsyslog，syslog-ng，logstash等）？ 或者...如果没有人对日志数据进行身份验证，那为什么不呢？ - （此外：在讨论/比较中，使用RFC 5424中的某些图表或术语可能会有所帮助：第4.1节：示例部署方案 -例如，“发起者” vs“中继” vs“收集器”）

8 security  logging  rsyslog  logstash  syslog-ng 

我正在将rsyslog配置从旧服务器迁移到新服务器，并认为我会借此机会整理一下我们的配置。旧的配置使用了“旧版”模板定义，并且模板上的rsyslog文档建议用新的模板语法替换这些定义，因此这就是我尝试做的事情。 我根本无法使它正常工作，并且尝试启动rsyslog时遇到的错误没有任何意义。因此，似乎我从根本上误解了rsyslog文档，或者RHEL6中包含的rsyslog软件包有些有趣。 这是我要更新的旧模板： $template secureTemplate,"INSERT INTO var_log_secure (received_at, source_ip, source_hostname, logged_at, severity, service, message, severity_int, syslogtag) VALUES ('%timegenerated:::date-rfc3339%', '%fromhost-ip%', '%hostname%', '%timereported:::date-rfc3339%', '%syslogseverity-text%', '%programname%', '%msg%', '%syslogseverity%', '%syslogtag%')",STDSQL 这是我阅读rsyslog文档后使用新语法尝试的同一模板： template(name="secureTemplate" type="string" option.stdsql="on" string="INSERT INTO var_log_secure (received_at, source_ip, source_hostname, logged_at, severity, service, message, severity_int, syslogtag) values ('%timegenerated:::date-rfc3339%', '%fromhost-ip%', '%hostname%', '%timereported:::date-rfc3339%', '%syslogseverity-text%', '%programname%', '%msg%', …

8 rhel6  rsyslog 

我有许多Cisco / JunOS路由器和交换机，它们会将日志发送到使用的我的Debian服务器rsyslogd。 如何rsyslogd根据其源IP地址配置将这些路由器/交换机日志发送到特定文件？我不想使用这些条目来污染一般的系统日志。 例如： 芝加哥的所有路由器（源IP块：172.17.25.0/24）仅登录/var/log/net/chicago.log。 达拉斯（源IP块172.17.27.0/24）中的所有路由器仅登录/var/log/net/dallas.log。 删除所有APF-3-RCV_UNSUPP_MSG消息而不记录它们 将172.17.4.4的日志发送到名为的文件 /var/log/net/firewall.log 使用UDP端口514将防火墙日志转发到10.14.12.12 最后，这些日志应每天轮换最多30天并压缩。 注意：我在回答自己的问题

8 linux  networking  unix  rsyslog 

启动rsyslog时，我得到以下信息： /etc/init.d/rsyslog: 1: /etc/default/rsyslog: imudp: not found /etc/init.d/rsyslog: 2: /etc/default/rsyslog: 127.0.0.1: not found /etc/init.d/rsyslog: 3: /etc/default/rsyslog: 514: not found 我的/ etc / default / rsyslog文件： $ModLoad imudp $UDPServerAddress 127.0.0.1 $UDPServerRun 514

rsyslog