Frage Rsyslog-Filter zum Protokollieren von Router-Ereignissen (Syslog-Server)


Ich versuche rsyslog (Ubuntu 12.04 Server) zu konfigurieren, um Ereignisse von einem Router zu protokollieren. Ich habe das alt gefunden ubuntu Forumsbeitrag was mich am meisten dorthin gebracht hat.

Bisher kann ich die Ereignisse vom Router abmelden. Aber seit ich sie nicht eingeloggt habe /var/log/syslog Ich versuche, einen funktionierenden Filter einzurichten /etc/rsyslog.conf um die geloggten Ereignisse einzulagern /var/log/linksys.log. Hier habe ich Probleme.

  • Zuerst habe ich versucht, nach der IP-Adresse des Routers zu filtern:

    :fromhost-ip, isequal, "192.168.2.1" /var/log/linksys.log
    & ~
    

    Dies leitet die Protokolle erfolgreich um, wie ich es wollte, das einzige Problem ist jetzt, dass ich keine SSHD-Protokolle in auth.log bekomme. Es ist unnötig zu sagen, dass dies nicht akzeptabel ist.

  • Als nächstes habe ich versucht, nach dem Namen des Routers zu filtern, der in jedem Ereignisprotokoll erscheint:

    :msg,contains, "RV042" /var/log/linksys.log
    & ~
    

    Dies protokolliert oder blockiert jedoch nichts.

Also bin ich ratlos. Ich habe keine Ahnung, warum SSHD mit dem Filter gefiltert wird :fromhost-ip Filter. SSHD ist lokal auf dem Rechner mit rsyslog (192.168.2.2). Ich bin sehr frustriert darüber, alle Vorschläge werden sehr geschätzt.


4
2018-06-09 03:25


Ursprung




Antworten:


Ich habe es herausgefunden! Diese Links haben geholfen:

http://www.rsyslog.com/tag/udp/

http://www.rsyslog.com/doc/multi_ruleset.html

Folgendes habe ich getan:

Geöffnet /etc/rsyslog.d/50-default.conf und am Anfang der Datei, vor allen anderen Standardfiltern, fügte ich hinzu:

# process remote messages
# define new ruleset and add rules to it:
$RuleSet remote
*.*           /var/log/linksys.log
# only messages not from 192.168.2.1 make it past this point

# bind ruleset to UDP listener
$InputUDPServerBindRuleset remote
# and activate it:
$UDPServerRun 514

# switch back to the default ruleset:
$RuleSet RSYSLOG_DefaultRuleset

3
2018-06-13 19:42





/etc/rsyslog.conf ist nicht die richtige Datei zum Bearbeiten. Sie möchten wirklich ein separates einrichten .conf Datei:

$ sudo nano /etc/rsyslog.d/20-router.conf

Fügen Sie dann die erforderliche Konfiguration hinzu:

:fromhost-ip, isequal, "192.168.2.1" /var/log/linksys.log
& ~

Dies sollte keine anderen Protokolleinträge verwechseln. Ich habe es selbst ausprobiert und es funktioniert gut.

Dank an http://nickhumphreyit.blogspot.co.uk/2012/09/how-to-setup-syslog-server-on-ubuntu.html um mir die Antwort zu geben, nachdem ich die Dokumentation aufgegeben habe.

Vielleicht möchten Sie ein hinzufügen logrotate Datei an /etc/logrotate.d/linksys auch:

/var/log/linksys.log {
       daily
       rotate 7
       delaycompress
       compress
       notifempty
       missingok
}

1
2018-02-03 17:43