我正在使用 syslog-ng,目前我的配置仅根据 IP 地址和设备分离日志文件: source s_network_udp { syslog(transport(udp) port(514)); }; destination d_local { file("/var/log/${HOST}/${FACILITY}.log" create_dirs(yes)); }; log { source(s_network_udp); destination(d_local); }; 这给了我这个: ./0.0.0.1/daemon.log ./...
先生们,我正在尝试找到一种方法来转发到RHEL7 中的/var/log/yum.log远程日志服务器。但没有发生。rsyslog.conf 我尝试过这种方法,但没有成功 - $InputFileName /var/log/yum.log $InputFileSeverity info $InputFileFacility local2 $InputRunFileMonitor 另外,我尝试过使用,*.*但rsyslog.conf没有成功。甚至我/var/log/messages没有收到任何安装日志(我不知道为什么)。 请指教。 ...
我已将 SFTP 登录日志启用到默认日志文件中/var/log/syslog,并尝试过滤每个用户的登录时间并将其插入数据库。 但过滤并没有像我预期的那样发挥作用。 示例日志文件: Jun 23 15:47:03 ip-172-16-0-62 systemd[24938]: Reached target Shutdown. Jun 23 15:47:03 ip-172-16-0-62 systemd[24938]: Starting Exit the Session..c. Jun 23 15:47:03 ip-172-16-0-62 systemd[2493...
我已经配置了从我的一台服务器通过 rsyslog TCP/SSL 到中央日志服务器的远程日志记录 一切都运行正常,直到昨天大多数文件停止传输,但有些文件仍在日志服务器中发送/更新。 我的 /etc/rsyslog.d/ 中有这个特定的配置 $ModLoad imfile #Load the imfile input module # poll every 10s $InputFilePollInterval 10 # myfile $InputFileName /var/log/data/myFile.log $InputFileTag myFi...
我们最近注意到了这个问题 我们发现 rsyslog 服务正在消耗内存,有时甚至高达 10G 我们有不同类型的 Redhat 机器,如 7.6 和 7.9 版本 当服务消耗超过 2 GIGA 时,是否可以自动重新启动 rsyslog 服务(通过 systemctl 配置)? 从文档中我看到(服务路径 - /lib/systemd/system/rsyslog.service) [Service] MemoryLimit=2G 但不确定我们是否达到了内存限制(2G),然后服务将自动重启 下面是我们想要的例子 如果 rsyslog 服务消耗超过 2G,则服务...
我正在优化和调整我的 EC2 syslog-ng 服务器的大小,并在我们的 ansible playbook 中为“内部”数据中心机器上使用的内核设置保留一些设置。(以前我们也在 DC 中使用 syslog-ng,而现在我们正在使用SC4S) 具体相关net.core.netdev_max_backlog: Redhat 门户指出默认值为 1000,但我们目前将其设置为 65536,并且我没有任何记录表明为什么或从何处得出该建议。 我在这里和 Redhat 门户上找到了很多关于测试和增加此设置的有用文章,但是这个设置得太高会有什么影响? 内核参数 - net...
已配置 Rsyslog 通过 SSH 隧道将日志发送到远程位置。 然而 rsyslog 抱怨“权限被拒绝”: rsyslogd[28412]: cannot connect to 127.0.0.1:10601: Permission denied [v8.2102.0-10.el8 try https://www.rsyslog.com/e/2027 ] 服务器是CentOS Stream 8 隧道已验证为已启动 - ss -lntp- 并且我能够使用 ie 通过它发送echo test | nc 127.0.0.1 601,并且测试显示在远程。 隧道通...
考虑到一个通过 UDP 接收日志并使用 TLS 转发到中央日志服务器的 docker 容器,我想知道我是否可以满足于一个队列或者是否需要多个队列。 确实,我知道除了将日志发送到收集器之外我不会做任何其他事情,我真的不明白为什么需要多个队列。如果存在其他操作(例如在文件上写入日志或为故障转移复制输出),它们当然是有意义的,但是如果转发是唯一的任务怎么办? 在直接队列模式(即无队列)下拥有主队列和“发送到收集器”操作是否足够?如果中央服务器发生故障(或网络中断),则日志将简单地重新排队到主消息队列? 例如,在下面这个场景中,这Action Q完全是合理的,但如果...
这里是技术新手。 我想将 Fortigate 日志发送到 syslog 服务器。以前,我收到太多不必要的防火墙日志,其中 90% 的安全级别为“通知”。我使用过这个解决方案在 CLI 中更改我收到的日志级别(这样我就不会再收到一堆无用的日志了)。 问题是,我做想要保留那些告知我何时登录 Fortigate/我的系统的日志,但由于该日志被标记为“通知”,我不再接收登录会话日志。我能否将登录会话日志的安全级别配置为“警告”,以便接收这些日志(而不是其他“通知”日志)?如果可以,该怎么做? 或者,如果除了更改单个登录会话日志的安全级别之外还有其他解决此问题的方法,...
我已在 /etc/vsftpd 中禁用所有日志记录,但由于某种原因,它仍然记录到 /var/log/syslog,但我不知道原因。 root@unraid:/etc# cat /etc/vsftpd.conf # vsftpd.conf for unRAID # with suggestions from forum user 'nars' # connect_from_port_20=NO write_enable=YES local_root=/mnt local_umask=0 # # No anonymous logins anonymous_en...
我在 RHEL8 Linux 服务器中有一个 rsyslog 实例,用于从其他系统收集日志。它运行良好,并将所有日志存储在/var/log以下格式的目录中/var/log/hostname/year/month/date。 我的问题是我的用户名没有立即读取的权限,所以首先我必须sudo chmod o+r能够读取日志或使用 root 帐户,但我不想这样做。 我尝试/etc/rsyslog.conf通过添加文件来解决这个问题 $FileCreateMode 0022 $umask 0022 这应该授予所有用户读取权限,但是它不起作用。 我也用 修改了/usr...
我正在尝试将 CheckPoint 防火墙日志发送到 Elasticsearch 8.0。我有一台运行 Rsyslog 的机器 A 192.168.1.123,它在端口 514 上接收日志,这些日志会记录到文件中;还有一台运行 Elasticsearch 和 Kibana 的机器 B 192.168.1.234。它们都是 Rocky Linux 8.5。出于测试目的,firewalld 已关闭,机器 B 上的 SELinux 设置为 Permissive 我可以配置/etc/filebeat/modules.d/checkpoint.yml从机器 A 上的文...
我正在为应用程序设置 rsyslog 并使用以下配置: $FileCreateMode 0644 if $programname == 'proxy' then /var/log/proxy/log & stop 这将生成如下日志条目: Feb 26 20:45:46 ip-10-161-71-236 proxy[2562]: Feb 26, 2022 8:45:46 PM org.redisson.connection.pool.ConnectionPool$1 lambda$run$0 这些内容由 CloudWatch Agent 传送到 C...
我看到“rsyslog.conf”路径前有一个“-”符号,它是什么? 例子: mail.info -/var/log/mail.info mail.err /var/log/mail/err 谢谢 ...
我有两个具有不同日志结构的 barracuda FW 和一个需要解析它们的 Logstash grok 过滤器插件。 值仅日志条目 +02:00 Info blabla Detect: FWD|TCP|bond0.777|1.1.1.1|53329|00:00:00:00:00:00|20.190.159.32|443||bond1.182||0|80.231.71.252|20.190.159.32|0|1|0|0|0|0||SSL|Microsoft Services Base|graph.microsoft.com||Computing/Tec...