由于某些原因,我们将 syslog 事件从 RHEL 6(使用 rsyslog)重定向到 RHEL 5(使用 syslogd)。
在 RHEL 6 上的 rsyslog.conf 中:
*.* @10.30.46.211
在 RHEL 5 上的 /etc/sysconfig/syslog 中:
SYSLOGD_OPTIONS="-r -m 0"
在 RHEL 6 上,事件如下所示(/var/log/secure):
十月 25 02:10:03rh6q32sshd[1849]: pam_unix(sshd:session): root 用户的会话已关闭
在 RHEL 5 上,相同事件如下所示(/var/log/secure):
十月 25 02:10:03rh6q32 rh6q32sshd[1849]: pam_unix(sshd:session): root 用户的会话已关闭
不同之处在于主机名的双重使用(rh6q32)。
问题:是否有可能摆脱双重主机名?
谢谢,尤里
答案1
不同之处在于 6 显然使用 rsyslog 窃取旧的 syslog。您可以使用模板自定义 rsyslog:
$template sysklogd,"<%PRI%>%TIMESTAMP% %syslogtag%%msg%"
*.* @192.168.1.1;sysklogd
来自 kkoncepts.net
答案2
RHEL5 系统日志没有按照RFC3164(是的,标准)。系统日志数据包中应该有一个主机名。rhel5.x syslogd 将源主机添加到传入的系统日志流量中。
正如其他人所说,rsyslog 是在 RHEL 6.x 中添加的,它符合 RFC3164 标准。瞧,您的 syslogd 最终添加了一个已经存在的主机字段。