我需要向我的 kafka 集群发送消息,我这样做https://syslogng-kafka.readthedocs.io/en/latest/installation.html ,/etc/syslog-ng/conf.d/kafka.conf以及 destination authlog_to_kafka { python( class("syslogng_kafka.kafkadriver.KafkaDestination") on-error("fallback-to-string") ...
我对 rsyslog 完全陌生,所以请多多包涵 ;) 我有一个 Omada TP-Link 控制器,用于管理整个地区的所有客户端 AP。一切正常,我正在尝试实现公共 Wi-Fi 访问。为此,我需要一些真正的日志收集方法。我选择实现rsyslog, 和ElasticStack(Logstash,Elasticsearch&基巴纳)。 讯息rsyslog收到奥马达如下: 2024-04-03T07:50:11+02:00 {{AP_IP}} [{{Random_ID}}] AP MAC={{AP_MAC}} MAC SRC={{Client_MAC}} ...
我在 Ubuntu 22.04 上使用 netcat 1.218 生成测试 syslog 数据包,我注意到一个无法解释的奇怪行为。当我使用 标志时-v,netcat 会发送 2 个包含字母 的额外数据包X。如果没有-v,它只会发送一个数据包,正如预期的那样,但 rsyslog 无法识别输入。 示例命令: echo "<13>1 2024-02-28T04:07:00 hostname appname - - - message body" | nc -w 0 localhost 514 -u tcpdump 输出: 05:08:02.73572...
我正在尝试将系统日志从身份验证平台发送到系统日志服务器。身份验证平台只能配置为在 UDP/514 上发送系统日志。 日志源以我以前从未遇到过的方式发送事件。我执行了 tcpdump 并在 wireshark 中查看了传入的数据。Wireshark 看到各种系统日志以及它识别为 RSH 协议的内容。事件似乎通过 TCP 和不同的源端口通过 RSH 协议发送。然后我看到事件通过不同的源端口上的 UDP 514 发送。此数据包包含两行之间的所有事件数据,内容类似于 *事件发生通知开始/结束然后将先前的日志的每一部分作为新的数据包再次发送。 我的接收系统日志服务器不...
我们的 Ubuntu 服务器内核日志被以下消息充斥: Feb 5 12:08:32 Server kernel: [2071471.605255] BANDWIDTH_OUT:IN= OUT=eno1 SRC=192.168.48.2 DST=192.168.48.139 LEN=312 TOS=0x10 PREC=0x00 TTL=64 ID=43291 DF PROTO=TCP SPT=22 DPT=55778 WINDOW=501 RES=0x00 ACK PSH URGP=0 每秒大约有 50 条消息。 看起来好像已激活某些调试,但我并不知道有这...
我有带有 rsyslog v8.2102.0-113.el9_2.1 的 Red Hat 9.2。 我使用默认/etc/rsyslog.conf以及一个名为vums.conf位于/etc/rsyslog.d/。 module(load="imfile") input(type="imfile" File="/opt/wildfly/standalone/log/server.log" Tag="wildly") 当我重新启动 rsyslog 时,运行 systemctl status rsyslog 看到以下错误: [root@ko...
在 Ubuntu 22.04 上,当日志文件应该存在时,/var/log 总是被清除。rsyslog 已安装并正在运行。重新启动 rsyslog 会显示 /var/log 中再次创建文件(例如 auth.log、kern.log、其他非默认日志记录等),但几秒钟后所有内容都消失了。没有 cronjobs 可能导致这种情况。 有问题的服务器用作 SIEM 服务器,我们为许多其他具有相同配置的客户端(包括 rsyslog.conf)配备了该服务器,这似乎是一个孤立问题。在网上查找,我似乎找不到关于这个确切问题的提及,据我所知,我们的服务器上没有其他会导致此问题的...
我正在使用 syslog-ng,目前我的配置仅根据 IP 地址和设备分离日志文件: source s_network_udp { syslog(transport(udp) port(514)); }; destination d_local { file("/var/log/${HOST}/${FACILITY}.log" create_dirs(yes)); }; log { source(s_network_udp); destination(d_local); }; 这给了我这个: ./0.0.0.1/daemon.log ./...
先生们,我正在尝试找到一种方法来转发到RHEL7 中的/var/log/yum.log远程日志服务器。但没有发生。rsyslog.conf 我尝试过这种方法,但没有成功 - $InputFileName /var/log/yum.log $InputFileSeverity info $InputFileFacility local2 $InputRunFileMonitor 另外,我尝试过使用,*.*但rsyslog.conf没有成功。甚至我/var/log/messages没有收到任何安装日志(我不知道为什么)。 请指教。 ...
我已将 SFTP 登录日志启用到默认日志文件中/var/log/syslog,并尝试过滤每个用户的登录时间并将其插入数据库。 但过滤并没有像我预期的那样发挥作用。 示例日志文件: Jun 23 15:47:03 ip-172-16-0-62 systemd[24938]: Reached target Shutdown. Jun 23 15:47:03 ip-172-16-0-62 systemd[24938]: Starting Exit the Session..c. Jun 23 15:47:03 ip-172-16-0-62 systemd[2493...
我已经配置了从我的一台服务器通过 rsyslog TCP/SSL 到中央日志服务器的远程日志记录 一切都运行正常,直到昨天大多数文件停止传输,但有些文件仍在日志服务器中发送/更新。 我的 /etc/rsyslog.d/ 中有这个特定的配置 $ModLoad imfile #Load the imfile input module # poll every 10s $InputFilePollInterval 10 # myfile $InputFileName /var/log/data/myFile.log $InputFileTag myFi...
我们最近注意到了这个问题 我们发现 rsyslog 服务正在消耗内存,有时甚至高达 10G 我们有不同类型的 Redhat 机器,如 7.6 和 7.9 版本 当服务消耗超过 2 GIGA 时,是否可以自动重新启动 rsyslog 服务(通过 systemctl 配置)? 从文档中我看到(服务路径 - /lib/systemd/system/rsyslog.service) [Service] MemoryLimit=2G 但不确定我们是否达到了内存限制(2G),然后服务将自动重启 下面是我们想要的例子 如果 rsyslog 服务消耗超过 2G,则服务...
我正在优化和调整我的 EC2 syslog-ng 服务器的大小,并在我们的 ansible playbook 中为“内部”数据中心机器上使用的内核设置保留一些设置。(以前我们也在 DC 中使用 syslog-ng,而现在我们正在使用SC4S) 具体相关net.core.netdev_max_backlog: Redhat 门户指出默认值为 1000,但我们目前将其设置为 65536,并且我没有任何记录表明为什么或从何处得出该建议。 我在这里和 Redhat 门户上找到了很多关于测试和增加此设置的有用文章,但是这个设置得太高会有什么影响? 内核参数 - net...
已配置 Rsyslog 通过 SSH 隧道将日志发送到远程位置。 然而 rsyslog 抱怨“权限被拒绝”: rsyslogd[28412]: cannot connect to 127.0.0.1:10601: Permission denied [v8.2102.0-10.el8 try https://www.rsyslog.com/e/2027 ] 服务器是CentOS Stream 8 隧道已验证为已启动 - ss -lntp- 并且我能够使用 ie 通过它发送echo test | nc 127.0.0.1 601,并且测试显示在远程。 隧道通...
考虑到一个通过 UDP 接收日志并使用 TLS 转发到中央日志服务器的 docker 容器,我想知道我是否可以满足于一个队列或者是否需要多个队列。 确实,我知道除了将日志发送到收集器之外我不会做任何其他事情,我真的不明白为什么需要多个队列。如果存在其他操作(例如在文件上写入日志或为故障转移复制输出),它们当然是有意义的,但是如果转发是唯一的任务怎么办? 在直接队列模式(即无队列)下拥有主队列和“发送到收集器”操作是否足够?如果中央服务器发生故障(或网络中断),则日志将简单地重新排队到主消息队列? 例如,在下面这个场景中,这Action Q完全是合理的,但如果...