Configuração adequada do rsyslog

Question

Configuração adequada do rsyslog

#1 resposta do (0 votos)
#2 resposta do (0 votos)

1

Estou tentando configurar um servidor syslog, mas parece que ele não está funcionando como pretendido. Meu cliente parece não estar logando.

Servidor Ubuntu 12.04 (192.168.1.10)

Cliente Ubuntu 14.04 (192.168.1.26)

Configuração do servidor /etc/rsyslog.conf:

$ModLoad imuxsock 
$ModLoad imklog  
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

$RepeatedMsgReduction on
$FileOwner syslog
$FileGroup adm

$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

$WorkDirectory /var/spool/rsyslog

$IncludeConfig /etc/rsyslog.d/*.conf

$template TmplAuth, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"

Eu fiz chown syslog: syslog no diretório / subdiretórios / var / log.

Configuração do cliente /etc/rsyslog.conf:

Adicionado isso ao topo do arquivo conf

*.* @192.168.1.10:514

Daemon rsyslog reiniciado em ambos os hosts, no entanto, nenhum registro parece estar sendo preenchido no servidor em / var / logs

Alguma opinião sobre o que eu posso estar fazendo errado?

rsyslog

por l0sts0ck 01.07.2014 / 21:44

2 respostas

Tags rsyslog

Bind9 Problemas de DNS de pesquisa inversa externa Maneira rápida / segura de excluir em massa as mensagens de SPAM de mais de 100 caixas de entrada

score 0 · Answer 1

No meu caso (Ubuntu 12.04) com diretórios de configuração similares, também não foram criados. Eventos estavam sendo registrados nos arquivos existentes, mas sem o nome do host sendo marcado, então não era óbvio que estava (quase) funcionando.

Sugiro:

verifique se o tráfego está sendo recebido: no servidor, tente:

sudo tcpdump tcp port 514
Configure o cliente para enviar o nome do host correto. Adicione esta linha ao /etc/rsyslog.conf:

$ LocalHostName [cliente]
Verifique se as entradas de log do [cliente] estão aparecendo nos arquivos de log do [servidor].
Seu arquivo de configuração do servidor define um modelo chamado TmplAuth, mas nada está sendo usado. Adicione esta linha imediatamente após:

*. *? TmplAuth

Naturalmente, sempre que você alterar um arquivo de configuração, será necessário reiniciar o rsyslog nessa máquina.

Após o acima, meu TmplAuth estava sendo aplicado a todos os logs (incluindo local): diretórios foram criados e um arquivo de log para cada programa gerado. Isso não é bem o que eu queria, mas representa um grande passo à frente. Agora estou olhando para mudar o modelo, em vez de confundir porque não estava funcionando.

score 0 · Answer 2

Eu não posso comentar, então eu adiciono uma nova resposta: Muito provavelmente, o problema é, como foi dito por Zaq, que o TmplAuth deveria ser usado para escrever um nome de arquivo dinâmico. Essa parte está realmente ausente.

Além disso, nós (o projeto rsyslog) vimos freqüentemente que tais problemas foram causados por

Configurações do AppArmor (improváveis)
Configuração do firewall (provável)

Então você definitivamente quer dar uma olhada nisso.