标签: syslog

我希望每个服务器都将日志发送到 /var/log 并复制到远程 syslog-ng 服务器。我听说过一些轶事，如果网络出现问题，远程日志记录会如何挂起您的应用程序。我应该担心远程登录时我的应用程序挂起，我将如何修复/解决它？

我们有多个 Ec2 服务器在运行，它们有在不可预测的时间（基于负载等）启动和关闭的趋势。在一个位置整理和聚合来自它们的日志的最佳方法是什么？

我正在运行一个 pfSense 防火墙，它运行 syslog 并且可以将它的日志转发到远程 syslog 服务器。我希望能够通过订阅在我的 SBS 2011 服务器的事件查看器上查看这些内容。我假设必须有一些中间件将系统日志消息转换为 Windows 事件，但我找不到这样的程序。

有很多程序可以将 Windows 事件发送到 unix syslog 服务器，但这与我想要的相反......

我有一个在 Ubuntu 8.10 上运行的 Postfix 邮件服务器，当/var/log/mail.log或任何其他文件达到恰好 2GB 的数据时，系统日志停止将任何数据写入文件。

通过 syslog 记录的文件是否有某种限制？

我正在与我的同事讨论我们是否应该每小时对有问题的文件进行一次 logrotate，并希望这能阻止他们达到此限制。如果我们有 2-3 小时的日志文件，那么大到足以发现任何大问题时就足够了。

我在以下内容中看到很多/var/log/syslog：

Jun 21 14:36:15 my-server kernel: [416219.080061] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:the-mac-address:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=10081 PROTO=UDP SPT=68 DPT=67 LEN=308 

这似乎几乎每分钟都在发生。这只是我的服务器试图广播某些东西而我自己的 iptables 拒绝它发生吗？如果是这样，什么样的服务可能会做这样的事情，我应该允许吗？我在 Ubuntu 12.04.2 上运行 Postgres 9.2.4，除了基本的预安装包之外，基本上没有其他服务。

root@monitor:/opt/observium# service syslog-ng restart
Stopping system logging: syslog-ng.
Starting system logging: syslog-ngsyslog-ng: Error setting capabilities, capability management disabled; error='Operation not permitted'

root@monitor:/opt/observium# uname -a
Linux monitor 2.6.32-042stab075.2 #1 SMP Tue Mar 5 15:21:53 MSK 2013 x86_64 GNU/Linux

这是内核的问题吗？

我有一个 syslog 服务器（在 RHEL 7.4 上运行 rsyslog），它整合了我的网络设备中的所有 syslog。它正在侦听端口 TCP/514。

我想将每个设备的日志重定向到专用目录中的不同文件（基于它们的 IP 地址），而不是将它们全部放入/var/log/messages. 我怎样才能做到这一点？

我无法让 rsyslog 写入位于 /var/log 以外的目录中的日志文件。

服务器是 RHELS 5.6 并且大部分具有默认配置。除了 rsyslog 特定的更改（添加到 iptables 的规则等）

如果我在 /etc/rsyslog.conf 中指定以下内容，它会起作用：

local6.* /var/log/MyLog.log

但是，如果我在 /Testing/MyLog.log 位置创建日志文件，chmod -R 777 在其上创建日志文件，然后将配置更新为：

local6.* /Testing/MyLog.log

我很困惑，因为我将 /Testing/MyLog.log（和目录）与 chown 和 chmod 设置为具有与日志 /var/log/MyLog.log 相同的用户：组和权限（根据 ls -la 的输出）。

我究竟做错了什么？这甚至可能吗？我什至尝试在 /var/log 中创建符号链接，但我尝试过的任何内容似乎都不起作用。我玩过 rsyslog 网站上记录的各种配置选项。

在我的 Debian Squeeze 服务器中，所有用户登录和注销都记录在文件中 /var/log/auth.log

Jan 28 07:11:06 xen8 sshd[29826]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jan 28 07:33:47 xen8 sshd[29826]: pam_unix(sshd:session): session closed for user root
Jan 28 09:45:58 xen8 sshd[14374]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jan 28 09:47:36 xen8 sshd[14374]: pam_unix(sshd:session): session closed for user root
Jan 29 07:37:48 xen8 sshd[24940]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jan 29 07:38:11 xen8 sshd[24940]: pam_unix(sshd:session): session closed for user root
Jan 29 08:35:13 …

我正在保护服务器并关闭所有未使用的端口，但我无法关闭 syslogd 端口，更糟糕的是我找不到调用 syslogd 的位置。

这是sockstat 向我展示的内容：

USER    COMMAND PID FD  PROTO   LOCAL ADDRESS   FOREIGN ADDRESS
root    syslogd 746 7   udp4    *:514           *:*
root    sshd    628 4   tcp4    *:22            *:* 

和 rc.conf：

defaultrouter="192.168.15.1"
ifconfig_dc0="inet 192.168.15.107 netmask 255.255.255.0"
# hostname
hostname="xxxxx"
sshd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"

我只需要 sshd 服务。