Filtro Rsyslog para registrar eventos do roteador (servidor syslog)

4

Estou tentando configurar o rsyslog (Ubuntu 12.04 Server) para registrar eventos de um roteador. Eu encontrei este antigo post no fórum do ubuntu que me deu a maior parte do caminho até lá.

Até agora, posso obter os eventos registrados do roteador. No entanto, como eu não estou logado em /var/log/syslog , estou tentando configurar um filtro de trabalho em /etc/rsyslog.conf para colocar os eventos registrados em /var/log/linksys.log . É aqui que estou tendo problemas.

  • Primeiro eu tentei filtrar pelo endereço IP do roteador assim:

    :fromhost-ip, isequal, "192.168.2.1" /var/log/linksys.log
    & ~
    

    Isso redireciona os logs com êxito como eu queria, o único problema é que agora não estou obtendo nenhum registro SSHD em auth.log. Escusado será dizer que isto não é aceitável.

  • Em seguida, tentei filtrar pelo nome do roteador que aparece em todos os registros de eventos:

    :msg,contains, "RV042" /var/log/linksys.log
    & ~
    

    Embora isso não registre ou bloqueie nada.

Então estou perplexo. Não tenho idéia do motivo pelo qual o SSHD está sendo filtrado com o filtro :fromhost-ip . O SSHD é local na máquina com o rsyslog (192.168.2.2). Estou completamente frustrado com isso, qualquer sugestão é muito apreciada.

    
por jpetersen 09.06.2012 / 05:25

2 respostas

3

Eu percebi isso! Esses links ajudaram:

link

link

Veja o que eu fiz:

Abrimos /etc/rsyslog.d/50-default.conf e na parte superior do arquivo, antes de todos os outros filtros padrão, adicionei:

# process remote messages
# define new ruleset and add rules to it:
$RuleSet remote
*.*           /var/log/linksys.log
# only messages not from 192.168.2.1 make it past this point

# bind ruleset to UDP listener
$InputUDPServerBindRuleset remote
# and activate it:
$UDPServerRun 514

# switch back to the default ruleset:
$RuleSet RSYSLOG_DefaultRuleset
    
por jpetersen 13.06.2012 / 21:42
1

/etc/rsyslog.conf não é o arquivo correto a ser editado. Você realmente quer configurar um arquivo .conf separado:

$ sudo nano /etc/rsyslog.d/20-router.conf

Em seguida, adicione a configuração necessária:

:fromhost-ip, isequal, "192.168.2.1" /var/log/linksys.log
& ~

Isso não deve confundir nenhuma outra entrada de log. Apenas tentei isso sozinho e funciona bem.

Graças ao link para dar me a resposta, depois de desistir da documentação.

Você pode adicionar um arquivo logrotate a /etc/logrotate.d/linksys também:

/var/log/linksys.log {
       daily
       rotate 7
       delaycompress
       compress
       notifempty
       missingok
}
    
por Ken Sharp 03.02.2015 / 18:43