Сохранение логов с помощью rsyslog

[xKirin]

Доброго времени. Снова прошу вас о помощи.
Имеется домашняя АП в виде Zyxel Keenetic II Lite. Пытаюсь с помощью rsyslog, как рекомендовано на сайте производителя, получить на ноутбук с Xubuntu 16.04.1, логи.
Версия rsyslog 8.16.0-lubuntu3
В /etc/rsyslog.conf раскомментировал

Код: [Выделить]

# Provide UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")В файле /etc/rsyslog.d/50-default.conf добавил

Код: [Выделить]

local0.192.168.1.1 /var/log/zyxel.logВ вебморде в графе адреса для журнала указал IP ноута в домашней сети: 192.168.1.21
В журнале появилось сообщение:

Код: [Выделить]

Syslog: server 192.168.1.21 addedПерезагрузил rsyslog

Код: [Выделить]

service rsyslog restartПрошло больше 24 часов, файл по адресу /var/log/zyxel.log даже не появился. В журнале вебморды появилось с того момента много сообщений. Роутер перезагружался 2 раза.

[Schneider]

есть у кого мысли почему у чела не работает?
 Настраивал ранее: dfl-210 слал логи на Ubuntu сервер, все работало.
Потом за ненадобностью поломал. Сейчас восстановить хочу.
А инфо нормальной найти не могу. Так что присоединяюсь к вопросу.

[fisher74]

Пакеты-то хоть от гаджета прилетают?

[Schneider]

local0.192.168.1.1 /var/log/zyxel.log

строка неверна я так понимаю.

Код: [Выделить]

local0.* /var/log/zyxel.logтак должно быть. т.е. после точки должен идти тип сообщений, что то вроде debug, err  и т.п. но не адрес роутера.
В самом роутере должна быть настройка отправки логов по сети. всем этим (своим) сообщениям роутер присваивает идентификатор local0 (у меня в роутере Dlink диапазон local0-local7, я например выбрал local0)

Таким образом

Код: [Выделить]

local0.* /var/log/zyxel.log указывает обработчику логов что сообщения с идентификатором local0 любых типов следует записать в файл zyxel.log

кроме того есть строка в /etc/rsyslog.d/50-default.conf

Код: [Выделить]

*.*;auth,authpriv.none -/var/log/syslog
ее надо поправить так:

Код: [Выделить]

*.*;auth,authpriv.none,local0.none -/var/log/syslog
иначе сообщения с роутера будут дублироваться в syslog, логика я думаю очевидна.
Пользователь добавил сообщение 26 Февраля 2017, 19:58:09:Вот другая проблема, в логи роутера сыпится много сообщений о сбросе пакетов на порт 5050 т.к. через свич с  wan порта валит трафик тв-приставки билайн. в итоге логов набегает на 3 гига в сутки не сжатых. роутером отсеять правильно не получается, все warning сообщения только, вместе с полезными. буду сейчас с помощью rsyslog ваять. здесь распишу.

Пользователь добавил сообщение 27 Февраля 2017, 00:16:15:после догих вкуриваний манов сообщаю следующее.
Создатели rsyslog поменяли несколько вариантов языка для управления логами, в настоящее время моден
RainerScript остальные варианты поддерживаются, но в следующих версиях отвалятся разумеется.

вопрос автора топика решается лаконично в предыдущем варианте скриптинга
созданием отдельного файла /etc/rsyslog.d/40-zyxellog.conf

Код: [Выделить]

local0.*   /var/log/zyxel.log
&~
а в RainerScript:

Код: [Выделить]

if $syslogfacility-text == "local0" then {action(type="omfile" file="/var/log/zyxel.log") & stop }

В моем случае я написал в отдельном файле 40-dfllog.conf:

Код: [Выделить]

if  $syslogfacility-text == "local0"
then{if $msg contains ("destport=5050") then stop
    else {action(type="omfile" file="/opt/log/dfl" flushOnTXEnd="off") & stop}
    }
чтобы пакеты от ТВ приставки на порт 5050 не забивали логи, а так же чтобы создаваемый файл
/opt/log/dfl не сбрасывался на диск сразу, а через некоторое время из оперативки, и в конце сброс,
чтобы не дублировалось в syslog

Всем удачи.

[jura12]

я тоже являюсь владельцем роутера zyxel keenetic giga 2 и столкнулся с этойже проблемой. после нескольких часов безуспешных экспериментов я прочел документацию и все заработало. единственное я тестировал на дебиан 9. но от 16.04 не сильно отличается.
1.включаем модуль imudp. в файле /etc/rsyslog.conf раскомментируем строчку module(load="imudp").
2.создаем файл /etc/rsyslog.d/40-zyxellog.conf и в него помещаем обработку

Код: [Выделить]

ruleset(name="remote514"){
    action(type="omfile" file="/var/log/remote514.log")
}
input(type="imudp" port="514" ruleset="remote514" name="zyxel")
теперь лог с роутера будет записываться в файл /var/log/remote514.log
3.посмотрев лог я увидел что в него спамит модуль зикселя radvd. это модуль для ip6. посколько у меня  ip6 провайдером не поддерживается я ip6 отключил и спам прекратился.