标签: syslog

所以我有几台服务器，我想集中登录，但显然我不想通过互联网不安全地传递数据。

我试过 syslog-ng 但不能让它以安全的方式工作，普通的ssh -L PORT:localhost:PORT user@hostSSH 隧道不起作用，因为我相信这会使日志看起来来自本地机器，而 VPN 似乎有点矫枉过正.

除了常见的系统设施（mail、news、daemon、cron等）， syslog 还提供了一系列“本地”设施，编号为 0 到 7：LOCAL0、LOCAL1、 ...、LOCAL7。

哪些是常见应用程序的程序默认设置？

我想找出哪些设施“传统上”用于众所周知的服务。我将在许多服务器上部署应用程序，并安装各种软件，并想看看是否有一个“免费”工具可以轻松用于我自己的日志。

请注意，我意识到除了系统日志工具之外，还有其他方法可以做到这一点。只是好奇！

这里有一些，（开始回答我自己的问题）还有一些感谢 voretaq7：

• LOCAL0 被 postgresql 使用
• LOCAL2 被 sudo 使用
• LOCAL3 被某些版本的 SpamAssassin 使用
• LOCAL4 slapd（OpenLDAP 服务器）默认使用
• LOCAL5 有时被 Snort IDS 使用
• LOCAL7 用于 Fedora 12 上的引导消息

升级到 Debian Wheezy（Debian Squeeze 之前运行）后，Syslog、auth.log、kern.log 和消息日志文件不再更新。

我怎么能修好呢？

我ppa:vbernat/haproxy-1.5根据http://haproxy.debian.net/在 ubuntu 14.04 上通过 apt-get 安装了 haproxy 1.5

问题是它登录/var/log/syslog而不是/var/log/haproxy.log

设置基本上是默认设置：

/etc/haproxy/haproxy.cfg

global
    log /dev/log    local0
    log /dev/log    local1 notice
    chroot /var/lib/haproxy
    stats socket /run/haproxy/admin.sock mode 660 level admin
    stats timeout 30s
    user haproxy
    group haproxy
    daemon

    # Default SSL material locations
    ca-base /etc/ssl/certs
    crt-base /etc/ssl/private

    # Default ciphers to use on SSL-enabled listening sockets.
    # For more information, see ciphers(1SSL).
    ssl-default-bind-ciphers kEECDH+aRSA+AES:kRSA+AES:+AES256:RC4-SHA:!kEDH:!LOW:!EXP:!MD5:!aNULL:!eNULL
        ssl-default-bind-options no-sslv3

defaults
    log global
    mode    http
    option  httplog
    option  dontlognull …

概括

自从我安装了一些新硬件后，我一直在 syslog 中收到这些神秘消息，但我无法弄清楚问题是什么，是否严重，或者如何处理。

它们来自新的 SATA HBA，并且遵循一种模式。5-30 秒后，我将收到几条第一条消息，然后是几条第二条消息。它们出现在同一秒内全部记录的 blob 中，每个 blob 的确切数量在大约 2 到 35 之间变化。条目出现之间可能是几分钟或几小时。

两条消息的示例：

Jul 13 06:06:23 durandal kernel: [366918.435596] mpt2sas0: log_info(0x31120303): originator(PL), code(0x12), sub_code(0x0303)
Jul 13 06:06:28 durandal kernel: [366923.145524] mpt2sas0: log_info(0x31110d01): originator(PL), code(0x11), sub_code(0x0d01)

它始终是 0x31120303 后跟 0x31110d01。

mpt2sas 是我正在使用的 SATA 主机总线适配器的驱动程序，但错误内容过于神秘。它没有告诉我问题是什么，它是什么磁盘或端口，或者它有多严重。

硬件

Supermicro X9SCL配备至强 E3-1220和 8GB 内存。

基于 LSI SAS2008 的 Supermicro AOC-USAS2-L8I SAS/SATA HBA 连接到 Supermicro CSE-M35T-1B磁盘托盘组。它插入了三个 Western Digital WD30EZRX和两个Segate ST3000DM001。所有 3TB 驱动器（实际上完全相同的扇区数）。没有使用端口扩展器。

HBA、磁盘托盘和 4 个驱动器是新的。其中一台 …

随着时间的推移，我注意到一些日志，/var/log例如auth,kern并且messages变得越来越大。我logrotate为他们做了条目：

$ cat /etc/logrotate.d/auth.log 
/var/log/kern.log {
    rotate 5
    daily
}
$ cat /etc/logrotate.d/kern.log 
/var/log/kern.log {
    rotate 5
    daily
}
$ cat /etc/logrotate.d/messages 
/var/log/messages {
    rotate 5
    daily
    postrotate
        /bin/killall -HUP syslogd
    endscript
}

我也compress启用了该选项：

$ grep compress /etc/logrotate.conf 
# uncomment this if you want your log files compressed
compress

这个伟大工程auth.log，kern.log和其他人，这意味着每个这些日志被gzip压缩和旋转，用日志的最近5天保留。/var/log/messages但是没有被压缩，导致日志超过 5 天：

$ ls /var/log/messages*
/var/log/messages           /var/log/messages-20100213
/var/log/messages-20100201  /var/log/messages-20100214
/var/log/messages-20100202 …

我正在运行几个基于 RHEL 的系统，它们利用 2.6 内核中的审计功能来跟踪用户活动，我需要将这些日志发送到集中式 SYSLOG 服务器以进行监控和事件关联。有谁知道如何实现这一目标？

我已经在 CentOS 5 上的特定时间设置了几个“at”作业。今天早上我没有在队列中看到这些命令（“atq”），正如预期的那样，但我也没有看到可以我检查负责执行它们的守护进程是否按时执行或有任何问题。不幸的是，我没有从脚本本身记录足够的信息。有任何想法吗？

有时我想使用 Ansiblelineinfile或blockinfile模块将密码写入一些配置文件。如果我这样做，整个行或块，包括密码，最终在我的syslog.

由于我不认为syslog将密码存储在一个安全的地方，我如何告诉 Ansible 不要将我的密码泄露到syslog？我希望有办法做到这一点，否则我会认为这是 Ansible 中的一个大安全问题。

例如，您可以使用此临时命令重现它：

ansible localhost -m blockinfile -a 'dest=/tmp/ansible_password_leak create=yes block="Password = {{password}}"' -e 'password=secret'

以下是最终结果syslog：

ansible-blockinfile: Invoked with directory_mode=None force=None remote_src=None insertafter=None owner=None follow=False marker=# {mark} ANSIBLE MANAGED BLOCK group=None insertbefore=None create=True setype=None content=None serole=None state=present dest=/tmp/ansible_password_leak selevel=None regexp=None validate=None src=None seuser=None delimiter=None mode=None backup=False block=Password = secret

例如，我在 Debian“Jessie”8 系统上使用了来自官方 Ansible Ubuntu PPA 的Ansible 2.0.0.2 。

使用 Nginx、Wordpress 和 Ubuntu 16。

我经常收到这些消息的轰炸 kern.log , syslog and ufw.log

Nov 28 21:02:28 kernel: [246817.450026] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22334 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:31 kernel: [246820.443191] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22335 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:33 kernel: [246822.448520] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=195.154.181.110 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=6401 PROTO=TCP SPT=52845 …