Executando o OSX como um servidor syslog

4

Eu quero receber os logs do meu roteador (um ASUS RT68U) no meu laptop (OSX 10.9). Ele suporta syslog e o OSX tem ASL (um superconjunto do syslog, aparentemente). Eu segui as instruções em OS X Lion como um servidor syslog , mas o console não mostra nada sob / var / log / network (embora o diretório mostre).

Os passos que tomei:

  • Defina o IP do meu laptop na página de administração do roteador para o syslogging.
  • Atualizou o syslog plist para escutar na rede.
  • Criado o diretório (/ var / log / network) para efetuar login.

Isto é onde eu divergir um pouco das instruções, como com muitas coisas em / etc no OSX, se ele também tiver uma estrutura de sub-pastas, é melhor adicionar seu conf lá e deixar o principal sozinho. Então,

  • Adicionado um conf de ASL Aqui é onde eu acho que o problema está.

/ etc / asl / asus-router

# Asus router logs
? [A= Host router.asus.com] store_directory /var/log/network uid=0 gid=20 mode=0644 format=bsd rotate=seq compress file_max=5M all_max=50M
# I've also tried:
#? [= Host 192.168.1.1] …
#? [A= Host 192.168.1.1] …
#? [= Host router.asus.com] …
#? [= Sender router.asus.com] …
#? [A= Sender router.asus.com] …
#? [= IP router.asus.com] …
#? [A= IP router.asus.com] …
  • Descarregou e carregou o syslog plist para pegar o novo conf.
  • Conectado ao roteador via SSH. Isso ajuda a adicionar uma entrada de log e recebi as seguintes informações:

ssh'd no roteador

nvram show | grep log_level
size: 50509 bytes (15027 left)
log_level=6

ps | grep syslog
 9358 iain  1488 S    /sbin/syslogd -m 0 -S -O /tmp/syslog.log -s 256 -l 6 -R 192.168.1.140:514 -L

Por fim, desativei o firewall e executei sudo tcpdump udp port 514 . Eu posso ver os logs chegando, mas nada aparece no console, mesmo se eu recarregar o plist.

06:21:38.983497 IP router.asus.com.40420 > iains-air.syslog: SYSLOG authpriv.info, length: 86 

Eu até dei uma olhada no RFC5424 para ver se eu poderia comparar com o nome do host, mas como sempre com RFC, eles são bem abstratos. A única coisa que posso pensar em fazer é editar o /etc/syslog.conf, mas eu não saberia com o quê.

Todas as sugestões ou insights seriam aceitas com gratidão.

    
por Iain 26.03.2017 / 07:54

0 respostas