将 Syslog 事件从 RHEL 6 重定向到 RHEL 5:是否可以提供相同的事件格式?

将 Syslog 事件从 RHEL 6 重定向到 RHEL 5:是否可以提供相同的事件格式?

由于某些原因,我们将 syslog 事件从 RHEL 6(使用 rsyslog)重定向到 RHEL 5(使用 syslogd)。

在 RHEL 6 上的 rsyslog.conf 中:

*.*                 @10.30.46.211

在 RHEL 5 上的 /etc/sysconfig/syslog 中:

SYSLOGD_OPTIONS="-r -m 0"

在 RHEL 6 上,事件如下所示(/var/log/secure):

十月 25 02:10:03rh6q32sshd[1849]: pam_unix(sshd:session): root 用户的会话已关闭

在 RHEL 5 上,相同事件如下所示(/var/log/secure):

十月 25 02:10:03rh6q32 rh6q32sshd[1849]: pam_unix(sshd:session): root 用户的会话已关闭

不同之处在于主机名的双重使用(rh6q32)。

问题:是否有可能摆脱双重主机名?

谢谢,尤里

答案1

不同之处在于 6 显然使用 rsyslog 窃取旧的 syslog。您可以使用模板自定义 rsyslog:

$template sysklogd,"<%PRI%>%TIMESTAMP% %syslogtag%%msg%"
*.*     @192.168.1.1;sysklogd

来自 kkoncepts.net

答案2

RHEL5 系统日志没有按照RFC3164(是的,标准)。系统日志数据包中应该有一个主机名。rhel5.x syslogd 将源主机添加到传入的系统日志流量中。

正如其他人所说,rsyslog 是在 RHEL 6.x 中添加的,它符合 RFC3164 标准。瞧,您的 syslogd 最终添加了一个已经存在的主机字段。

相关内容