我们发现 syslog-ng 3.8.1 会丢弃带有较旧时间戳的日志。我们的系统在重启后无法保留硬件时钟,但即使存在 ntp 抖动,也可能存在问题。 看起来,如果 syslog-ng 看到具有特定时间的日志,则任何具有较旧时间戳的日志都会被拒绝。虽然我们看到 syslog-ng 接收到了日志,但不清楚为什么我们没有看到它们被处理。 我们还发现,简单地改变系统时间(落后于时钟)而不重新加载也会导致 syslog-ng 冻结。 升级到 syslog-ng 3.22 也无济于事。启用 NTP 确实有助于解决问题,但时间抖动校正可能会再次冻结 syslog-n...
我正在尝试自动格式化来自 cygwin64 的系统日志数据,以便在每行末尾打印出换行符,以便稍后进行一些解析。但是,我没有看到任何可以提供解决方案的配置。我该如何正确格式化系统日志数据? ...
目前,我有一个相当大的 syslog-ng 集群设置,这是我的主要日志聚合点。我需要能够确认某些日志并将其标记为审核,以用于审计目的。例如所有失败的 sudo 尝试。我可以轻松地将我感兴趣的日志发送到特定的文件夹、程序或电子邮件,但想知道你们都用什么来进行审计。目前,我将它们发送到 MySQL DB,并在其中显示日志,我可以单击确认并根据需要添加注释。虽然这种方法有效,但我想要一些看起来更专业的东西。我曾考虑将它们绑定到开源票务系统中,并在审核后关闭它们,但想听听其他人的意见。 谢谢, 埃里克 ...
当我尝试将日志从 rsyslog 发送到 syslog-ng 时,主机名被缩短了。尽管我在接收端启用了 FQDN 选项,但我只在 syslog-ng 端接收入站数据,而不是 inbound.server.com。 当我使用 syslog 发送日志时,syslog-ng 服务器运行正常,因此发送端存在一些问题。 如何在rsyslog的模板中具体指定写入完整的主机名? 我也做了在 ML 上发帖他们说要添加自定义模板。我对 rsyslog 完全陌生,刚开始阅读文档,所以不知道该怎么做。 ...
我收到错误 err:Could not retrieve catalog from remote server: Error 400 on SERVER: Invalid parameter port at /etc/puppet/manifests/nodes/node.pp:652 on node test-puppet 我的木偶课:(node.pp 第 652 行) node 'test-puppet' { class { 'syslog_ng': host => "newhost", ip =>...
我的 logger 命令有问题。将 syslog-ng 升级到 3.3 版后(可能不直接依赖它),logger(使用以下命令)不记录标签名称: logger -t "BLABLA" some_log_string 我该如何解决?我搜索了一番,但没有找到有关此问题的任何信息。 提前致谢。 ...
我想使用 syslog-ng 将审计数据发送到 syslog trap。它可以工作,但由于我在 auditd.conf 中将 log_format 选项设置为 enriched,因此 /var/log/audit/auditd.log 中的日志包含丰富数据和非丰富数据 type=PATH msg=audit(1713273080.150:8936624): item=0 name="/var/log/audit/.audit.log.swp" inode=2359490 dev=08:01 mode=0100600 ouid=0 ogid=0 rdev=00...
我有一个 squid 代理将访问日志记录到一个文件中,然后 syslog-ng 读取这些日志,并根据 squid 的操作设置严重性(信息或通知),并将其作为 syslog 消息转发到 NetXMS 服务器。问题是 NetXMS 服务器收到的消息如下: 1 2024-04-17T11:13:11+02:00 vvsrv-proxy1 1713345191.357 - - [meta sequenceId="5336"] 69 10.30.108.14 TCP_TUNNEL/200 3530 CONNECT api.github.com:443 - HI...
目前,我在 Ubuntu 22.04.1 LTS 上运行 syslog-ng 3 (3.35.1)。目标是使用 https 安全协议发送数据并使用基本身份验证。Syslog-ng 正在使用 elasticsearch-http 模块将日志正确发送到 Elasticsearch API,如下所示: destination elk_http { elasticsearch-http( index("testing_index") type("") url("http://a.b.c.d:port/_bulk") workers...
我正在尝试在多台 Linux 服务器上部署 syslog-ng 的标准配置文件。我的基础架构包括许多服务(apache、confluence 等),日志文件位于不同位置。 请参阅我的自定义 syslog-ng 配置文件的摘录: source s_auditd { file("/var/log/audit/audit.log" flags(no-parse) program-override("auditd")); }; source s_app { file("/opt/atlassian/confluence/logs/catalina.out"...
我正在运行 Debian 12、Postfix 和 Postgrey。我似乎无法让 Postgrey 记录到 mail.log。我正在使用 syslog-ng,之前使用 rsyslog。我有指向 mail.log 文件的邮件,在 /etc/default/postgrey 中,我尝试过: POSTGREY_OPTS="--inet=127.0.0.1:10023 --greylist-action=ACTION --syslog-facility mail" 也尝试过--syslog-facility=mail,但似乎没有什么可以强制将其转到 /var/lo...
我对 syslog-ng 还很陌生,并且遇到了以下问题。 我有一个 Checkpoint 防火墙,它会将日志发送到 Splunk 服务器。由于防火墙发送的数据量巨大,我试图过滤掉不需要的日志。由于防火墙和 Splunk 都无法做到这一点,我现在将防火墙日志发送到 syslog-ng 服务器,该服务器会过滤掉不需要的消息,并通过 Splunk-forwarder 将其余日志转发给 Splunk。 Syslog-ng 服务器上的日志定义如下所示: log { source { network(transport(tcp) port(12001) fla...
配置 syslog-ng 服务器以通过 TLS 从云服务接收 syslog 消息。 syslog-ng 服务器位于 Azure 上的 Ubuntu 实例上,最新版本为 (4.5)。 这是测试实现的基本配置。我为服务器创建了一个自签名证书以供测试。 当服务器运行并让云服务发送日志时,系统日志服务器控制台上会出现此错误消息: 读取流时出现 SSL 错误;tls_error='error:1417C0C7:SSL 例程:tls_process_client_certificate:peer 未返回证书',location='/etc/syslog-ng/tls.c...
我第一次在 Stack Overflow 上发帖。如果我重复提问,我深表歉意。我尝试搜索,但对于我想要了解的内容,我并没有找到任何明确的信息。 我是否需要在 Syslog-ng 中配置其他参数以允许格式 JSON 模板将标准 Syslog 格式转换为 JSON? 环境:我将 Varonis 日志转发到运行 Syslog-ng 的 Linux(Centos 8)服务器。日志以以下格式接收: “|时间戳| |服务器主机| |规则ID| |规则名称| |规则情节| |规则描述| |警报时间| |事件时间| |代理对象|” 重申我的问题,我是否需要手动创建键值对,然...
除了监听 UDP 端口外,journald 可以完成我需要的所有工作。我想使用 syslog-ng 作为从 UDP 端口到 journald 的转发器。有一个名为“udp514-journal”的简单程序可以处理这个问题。但是,syslog-ng 似乎更可靠,功能更强大(具有 TLS 加密和过滤器)。有很多关于如何将日志从 journald 转发到 syslog-ng 的示例,但我试图实现相反的目标。这可能吗? ...