我正在寻找一种方法来安全地将所有 Windows 和 Linux 日志集中在一个位置。由于我在 Linux 和 Windows 的混合环境中,我开始在 Linux 机器上使用 Syslog-ng,在 Windows 机器上使用 Snare,所有这些都指向 linux 上的 syslog-ng。
玩系统,我意识到任何网络故障都会导致Windows事件丢失(Snare只使用udp和syslog),所以我尝试了WinAgents,结果相同
我尝试切换到 Kiwi Syslog 服务器,并在 WinAgents 上尝试了 Syslog 和 SNMP 协议,结果相同。
由于 Kiwi 和 Syslog-ng 都可以监听 TCP 端口,所以应该有一些使用 tcp 的 Windows syslog 客户端,对吧?有没有人对这样的客户有任何经验?
非常感谢
编辑:我一直在尝试 Centreon E2S,它支持 UDP 和 TCP,但在出现网络故障时似乎不会重新发送消息
我的 Cron 作业没有运行,我想看看系统日志中有什么问题。
但是那个日志只显示当前日期,
有没有办法保留过去 10 天的日志?
我想在防火墙中记录我丢弃的数据包。
教程告诉我在 /etc/syslog.conf 中写一些行
我已经搜索过但找不到任何名为 syslog.conf 的内容
有一个名为 rsyslog.conf 的文件
两者都一样
Shell 脚本不应删除* root 目录* 下的任何文件。我的* 路径将类似于 /export/home/ftp/ ...
我做了一些研究,并找到了使用 find 和 exec 命令从特定路径查找和删除超过 30 天的文件的方法。
*find /export/home/ftp/ -type f -mtime +30 -exec rm -f {} \;
但根据要求,我只想从该目录中删除 console.log 和 server.log 并排除其余文件。
请帮我解决这个问题。
我在 syslog 中的 local0 上添加了一些自定义日志记录。
将这些消息写入特定日志很容易,在我的 syslog.conf 中我有
local0.* -/var/log/my.log
但是如何从所有其他日志中排除 local0 呢?在我当前的设置中,local0 消息也显示在 /var/log/syslog 中,因为它被指定为
*.*;auth,authpriv.none -/var/log/syslog
我是否需要查看所有其他默认日志并添加 local0.none,或者是否可以使用某种全局排除?
我正在尝试设置 Windows 2008 服务器,以便它能够将事件日志消息发送到运行 linux 的 syslog-ng 服务器。我更喜欢本土的东西,但我想这是不可能的。
更新
第一个答案建议使用圈套,到目前为止,它是我找到的最佳解决方案,设置起来完全没有痛苦,并且在不到五分钟的时间内我就登录到了我的 syslog-ng 服务器。唯一的缺点(不是圈套错误)是日志以 windows-1252 字符集编码发送。所以tail -f除非我以某种方式更改字符集,否则我无法使用它们。如果您使用的是 syslog-ng,这可以通过创建新源轻松解决,在我的情况下:
source src_win {
udp(
ip("192.168.1.200")
port(514)
encoding("WINDOWS-1252"));
};
Run Code Online (Sandbox Code Playgroud)
在此之后(并将新源分配到正确的位置),您将能够正确查看 Windows 日志。
旧内容
环顾四周,我发现了此页面指出的几个解决方案:http : //www.itbuzzer.net/corner/2008/10/how-to-send-windows-events-to-syslog.asp
有没有人有任何这些或其他方面的经验?
有没有办法链接系统日志转发?例如,客户端主机如何将其 syslog 转发到 ServerA,而 ServerA 将所有内容转发到 CentralSyslogServer?
我正在使用 rsyslog。
原因是服务器 A 是一台双宿主机器,它从其他主机获取日志,这些日志应该全部存储在 CentralSyslogServer 中。目前 CentralSyslogServer 似乎只获取 ServerA 的本地日志,但没有从客户端主机转发到 ServerA 的任何日志。
解决:
我必须编辑 /etc/sysconfig/syslog 并将 -h 添加到 SYSLOGD_OPTIONS
我的错误 - serverA 正在使用 syslogd
简短概述:警报是否比严重更严重。
RFC 5424简要定义了系统日志严重性级别并给出了简短描述。每个系统日志级别都有一个代码 0 - 7。我的理解是 0(紧急)最严重,7(调试)最不严重。
但是我在质疑 1(警报)和 2(关键)。RFC 5424 中的定义是:
然而,在这个网站上,他们给出了更长的描述(这显然是个人意见),但将它们定义为:
这似乎是倒退,因为它意味着即使 RFC 5424 似乎将 Alert 置于更严重的程度,但关键还是比警报更严重。我只是想知道是否有官方立场或任何最佳实践?
我正在按照此博客中的步骤设置 rsyslog + logstash + graylog2,但我无法弄清楚如何使用 mutate -> 替换过滤器替换 logstash 中的 @source_host 属性。
在示例中,作者将他的 @source_host 替换为字符串值,但我想使用在这种情况下从系统日志解析的实际值。
mutate {
type => loc1
replace => ["@source_host", "loc1"]
}
mutate {
type => loc2
replace => ["@source_host", "loc2"]
}
Run Code Online (Sandbox Code Playgroud)
如何在我的日志中实际维护原始源主机?