我遇到了一个小问题,我尝试使用系统日志用于来自服务器的本地和远程日志。由于我使用此配置来获取远程日志,因此我的本地日志为空。
有什么帮助吗?*.*远程日志 sophos.log 上有错误吗?
-rw-------. 1 root root 0 28 juil. 14:51 spooler
-rw-------. 1 root root 0 28 juil. 14:51 secure
-rw-------. 1 root root 0 28 juil. 14:51 messages
-rw-------. 1 root root 0 28 juil. 14:51 maillog
-rw-------. 1 root root 0 28 juil. 14:51 cron
来自防火墙盒的远程日志的配置
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")
$AllowedSender TCP, 10.1.0.69
$template RemoteLogs,"/data/sophos/%HOSTNAME%/sophos.log"
*.* ?RemoteLogs
& ~
本地日志的配置:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
答案1
非常感谢 Meuh,它工作得很好,本地日志再次使用链接到输出的规则集工作,解决方案:
module(load="imudp") # needs to be done just once
input(type="imudp" port="514" ruleset="remote")
ruleset(name="remote"){
$template RemoteLogs,"/data/sophos/%HOSTNAME%/sophos.log"
*.* ?RemoteLogs
}