Syslog Server [РЕШЕНО]

[dim4ik]

Как можно настроить syslog для приёма логов из удалённых компьютеров или других приборов в сети, таких как фаервол и т.п.
-------
Для того, что бы можно было принимать логи по сети, требуется правка скрипта Сислога:

Код: [Выделить]

sudo nano /etc/init.d/sysklogdи изменяем содержимое следующей строчки на примерно такое содержание:

Код: [Выделить]

SYSLOGD="-r -u syslog"

далее редактируем syslog.conf:

Код: [Выделить]

sudo nano /etc/syslog.confи добавляем:

Код: [Выделить]

*.*;auth,authpriv,local1.none          -/var/log/syslog
local1.*                              -/var/log/router.log

Рестарт сислога без перезегрузки:

Код: [Выделить]

sudo /etc/init.d/sysklogd reloadв моём случае с принимаю логи с моего роутера в файл router.log

[dim4ik]

Теперь возникли следующие неудобства, логи пишутсс в двух местах syslog и router.log, т.е. роутер.лог добавлсется автоматом в сислог. Очень не хотелось-бы, что-бы сислог так сильно засорслсс.

У меня есть предположения, что необходимо править /etc/syslog.conf, только как его грамотно настроить пока не знаю, может кто знающий подскажет??

[Denis Konstantinov]

Теперь возникли следующие неудобства, логи пишутсс в двух местах syslog и router.log, т.е. роутер.лог добавлсется автоматом в сислог. Очень не хотелось-бы, что-бы сислог так сильно засорслсс.

У меня есть предположения, что необходимо править /etc/syslog.conf, только как его грамотно настроить пока не знаю, может кто знающий подскажет??

Я точно не знаю но попробуй сделать запись выше
записи

Код: [Выделить]

*.*;auth,authpriv.none          -/var/log/syslogОтпиши мне интересен этот вопрос тоже.

Есть ещё хороший логер syslog-ng но если ставить его в Ubuntu нарушается много зависимостей, хотя можно скачать пакет изменить зависимости и настроить его так чтобы он принимал сообщения с удалённых машин.

[dim4ik]

Теперь возникли следующие неудобства, логи пишутсс в двух местах syslog и router.log, т.е. роутер.лог добавлсется автоматом в сислог. Очень не хотелось-бы, что-бы сислог так сильно засорслсс.

У меня есть предположения, что необходимо править /etc/syslog.conf, только как его грамотно настроить пока не знаю, может кто знающий подскажет??

Я точно не знаю но попробуй сделать запись выше
записи

Код: [Выделить]

*.*;auth,authpriv.none          -/var/log/syslogОтпиши мне интересен этот вопрос тоже.

Вот так будет правильно:

Код: [Выделить]

*.*;auth,authpriv,local1.none          -/var/log/syslog
local1.*                              -/var/log/router.log

т.е. исключаем попадание local1 в syslog 

[Denis Konstantinov]

У меня тоже ста идес была Спасибо теперь буду знать.

[na_krul]

Для того, что бы можно было принимать логи по сети, требуется правка скрипта Сислога:

Код: [Выделить]

sudo nano /etc/init.d/sysklogdи изменяем содержимое следующей строчки на примерно такое содержание:

Я думаю правильнее править

Код: [Выделить]

sudo nano /etc/default/syslogd
В общем лог у меня начал писаться, но в журнал syslog, а в специальный журнал ничего не пишется. Так же сообщения дублируются в журнале messages
Я думаю ошибка в

Код: [Выделить]

*.*;auth,authpriv,local1.none          -/var/log/syslog
local1.*                              -/var/log/router.log
Где можно посмотреть более детальное описание команд для конфига.
Вот кусочек лога
Mar 26 16:37:29 10.6.0.1 Mar 26 2008 16:23:20: %PIX-6-305012: Teardown dynamic TCP translation from inside:10.6.0.3/1172 to outside:212.33.243.69/22022 duration 0:00:31
Mar 26 16:37:29 10.6.0.1 Mar 26 2008 16:23:21: %PIX-6-302016: Teardown UDP connection 391089 for outside:212.33.224.131/53 to inside:10.6.0.2/1042 duration 0:00:03 bytes 555
Mar 26 16:37:30 10.6.0.1 Mar 26 2008 16:23:22: %PIX-6-302013: Built inbound TCP connection 391091 for outside:121.171.240.134/35999 (121.171.240.134/35999) to inside:10.6.0.2/25 (212.33.243.69/25)
Mar 26 16:37:31 10.6.0.1 Mar 26 2008 16:23:22: %PIX-6-305012: Teardown dynamic TCP translation from inside:10.6.0.3/1173 to outside:212.33.243.69/22023 duration 0:00:31

В нем нет записей типа local1, может вместо этого нужно писать что то другое?