Filtro Rsyslog para registrar eventos do roteador (servidor syslog)

Question

Filtro Rsyslog para registrar eventos do roteador (servidor syslog)

#1 resposta do jpetersen (3 votos)
#2 resposta do Ken Sharp (1 votos)

4

Estou tentando configurar o rsyslog (Ubuntu 12.04 Server) para registrar eventos de um roteador. Eu encontrei este antigo post no fórum do ubuntu que me deu a maior parte do caminho até lá.

Até agora, posso obter os eventos registrados do roteador. No entanto, como eu não estou logado em /var/log/syslog , estou tentando configurar um filtro de trabalho em /etc/rsyslog.conf para colocar os eventos registrados em /var/log/linksys.log . É aqui que estou tendo problemas.

Primeiro eu tentei filtrar pelo endereço IP do roteador assim:
```
:fromhost-ip, isequal, "192.168.2.1" /var/log/linksys.log
& ~
```
Isso redireciona os logs com êxito como eu queria, o único problema é que agora não estou obtendo nenhum registro SSHD em auth.log. Escusado será dizer que isto não é aceitável.
Em seguida, tentei filtrar pelo nome do roteador que aparece em todos os registros de eventos:
```
:msg,contains, "RV042" /var/log/linksys.log
& ~
```
Embora isso não registre ou bloqueie nada.

Então estou perplexo. Não tenho idéia do motivo pelo qual o SSHD está sendo filtrado com o filtro :fromhost-ip . O SSHD é local na máquina com o rsyslog (192.168.2.2). Estou completamente frustrado com isso, qualquer sugestão é muito apreciada.

server 12.04 router rsyslog

por jpetersen 09.06.2012 / 05:25

2 respostas

1

/etc/rsyslog.conf não é o arquivo correto a ser editado. Você realmente quer configurar um arquivo .conf separado:

$ sudo nano /etc/rsyslog.d/20-router.conf

Em seguida, adicione a configuração necessária:

:fromhost-ip, isequal, "192.168.2.1" /var/log/linksys.log
& ~

Isso não deve confundir nenhuma outra entrada de log. Apenas tentei isso sozinho e funciona bem.

Graças ao link para dar me a resposta, depois de desistir da documentação.

Você pode adicionar um arquivo logrotate a /etc/logrotate.d/linksys também:

/var/log/linksys.log {
       daily
       rotate 7
       delaycompress
       compress
       notifempty
       missingok
}

por Ken Sharp 03.02.2015 / 18:43

Tags server 12.04 router rsyslog

Como obter um motivo mais detalhado para o travamento do Thunderbird? Impossível inicializar o instalador do Ubuntu 12.04 no Pendrive USB criado com o Universal USB Installer.

score 3 · Accepted Answer

Eu percebi isso! Esses links ajudaram:

link

Veja o que eu fiz:

Abrimos /etc/rsyslog.d/50-default.conf e na parte superior do arquivo, antes de todos os outros filtros padrão, adicionei:

# process remote messages
# define new ruleset and add rules to it:
$RuleSet remote
*.*           /var/log/linksys.log
# only messages not from 192.168.2.1 make it past this point

# bind ruleset to UDP listener
$InputUDPServerBindRuleset remote
# and activate it:
$UDPServerRun 514

# switch back to the default ruleset:
$RuleSet RSYSLOG_DefaultRuleset