标签: syslog

我正在寻找一种方法来安全地将所有 Windows 和 Linux 日志集中在一个位置。由于我在 Linux 和 Windows 的混合环境中，我开始在 Linux 机器上使用 Syslog-ng，在 Windows 机器上使用 Snare，所有这些都指向 linux 上的 syslog-ng。

玩系统，我意识到任何网络故障都会导致Windows事件丢失（Snare只使用udp和syslog），所以我尝试了WinAgents，结果相同

我尝试切换到 Kiwi Syslog 服务器，并在 WinAgents 上尝试了 Syslog 和 SNMP 协议，结果相同。

由于 Kiwi 和 Syslog-ng 都可以监听 TCP 端口，所以应该有一些使用 tcp 的 Windows syslog 客户端，对吧？有没有人对这样的客户有任何经验？

非常感谢

编辑：我一直在尝试 Centreon E2S，它支持 UDP 和 TCP，但在出现网络故障时似乎不会重新发送消息

我的 Cron 作业没有运行，我想看看系统日志中有什么问题。

但是那个日志只显示当前日期，

有没有办法保留过去 10 天的日志？

我想在防火墙中记录我丢弃的数据包。

教程告诉我在 /etc/syslog.conf 中写一些行

我已经搜索过但找不到任何名为 syslog.conf 的内容

有一个名为 rsyslog.conf 的文件

两者都一样

Shell 脚本不应删除* root 目录* 下的任何文件。我的* 路径将类似于 /export/home/ftp/ ...

我做了一些研究，并找到了使用 find 和 exec 命令从特定路径查找和删除超过 30 天的文件的方法。

*find /export/home/ftp/ -type f -mtime +30 -exec rm -f {} \;

但根据要求，我只想从该目录中删除 console.log 和 server.log 并排除其余文件。

请帮我解决这个问题。

我在 syslog 中的 local0 上添加了一些自定义日志记录。

将这些消息写入特定日志很容易，在我的 syslog.conf 中我有

local0.* -/var/log/my.log

但是如何从所有其他日志中排除 local0 呢？在我当前的设置中，local0 消息也显示在 /var/log/syslog 中，因为它被指定为

*.*;auth,authpriv.none -/var/log/syslog

我是否需要查看所有其他默认日志并添加 local0.none，或者是否可以使用某种全局排除？

我正在尝试设置 Windows 2008 服务器，以便它能够将事件日志消息发送到运行 linux 的 syslog-ng 服务器。我更喜欢本土的东西，但我想这是不可能的。

更新 第一个答案建议使用圈套，到目前为止，它是我找到的最佳解决方案，设置起来完全没有痛苦，并且在不到五分钟的时间内我就登录到了我的 syslog-ng 服务器。唯一的缺点（不是圈套错误）是日志以 windows-1252 字符集编码发送。所以tail -f除非我以某种方式更改字符集，否则我无法使用它们。如果您使用的是 syslog-ng，这可以通过创建新源轻松解决，在我的情况下：

source src_win {
        udp(
                ip("192.168.1.200")
                port(514)
                encoding("WINDOWS-1252"));
};

在此之后（并将新源分配到正确的位置），您将能够正确查看 Windows 日志。

旧内容

环顾四周，我发现了此页面指出的几个解决方案：http : //www.itbuzzer.net/corner/2008/10/how-to-send-windows-events-to-syslog.asp

• Syslog 代理 ( http://www.syslogserver.com/syslogagent.html )：这是最简单的选择，但最后一次更新是 2008 年
• eventlog-to-syslog ( http://code.google.com/p/eventlog-to-syslog/ )：它似乎是最新的，最近从普渡大学转移到 code.google.com
• ntsyslog ( http://ntsyslog.sourceforge.net/ )：不能在 windows 2008server 上运行，所以我不能使用那个。

有没有人有任何这些或其他方面的经验？

有没有办法链接系统日志转发？例如，客户端主机如何将其 syslog 转发到 ServerA，而 ServerA 将所有内容转发到 CentralSyslogServer？

我正在使用 rsyslog。

原因是服务器 A 是一台双宿主机器，它从其他主机获取日志，这些日志应该全部存储在 CentralSyslogServer 中。目前 CentralSyslogServer 似乎只获取 ServerA 的本地日志，但没有从客户端主机转发到 ServerA 的任何日志。

解决：

我必须编辑 /etc/sysconfig/syslog 并将 -h 添加到 SYSLOGD_OPTIONS

我的错误 - serverA 正在使用 syslogd

简短概述：警报是否比严重更严重。

RFC 5424简要定义了系统日志严重性级别并给出了简短描述。每个系统日志级别都有一个代码 0 - 7。我的理解是 0（紧急）最严重，7（调试）最不严重。

但是我在质疑 1（警报）和 2（关键）。RFC 5424 中的定义是：

• 警告：必须立即采取行动
• 临界：临界条件

然而，在这个网站上，他们给出了更长的描述（这显然是个人意见），但将它们定义为：

• 警报：应立即纠正 - 通知可以解决问题的工作人员 - 例如备用 ISP 连接丢失
• 严重：应立即纠正，但表示主系统出现故障 - 在警报之前修复严重问题 - 例如主 ISP 连接丢失

这似乎是倒退，因为它意味着即使 RFC 5424 似乎将 Alert 置于更严重的程度，但关键还是比警报更严重。我只是想知道是否有官方立场或任何最佳实践？

我使用 syslog 和 rsyslog 来处理我的 Linux 和 FreeBSD 系统上的日志记录。

时间戳目前以秒为单位，但我想增加这些时间戳的精度以包括毫秒。这是否可以使用 syslog 变体，例如 rsyslog（RedHat、Ubuntu）或 FreeBSD 上的 Syslog？

如果我确实增加了日志时间戳以包含微秒，那么这些时间戳有多准确？如果事件发生在 03:37:02:001 ，这是否意味着该事件实际上发生在那个精确的毫秒，或者系统日志写入事件时是否有延迟？

我正在按照此博客中的步骤设置 rsyslog + logstash + graylog2，但我无法弄清楚如何使用 mutate -> 替换过滤器替换 logstash 中的 @source_host 属性。

在示例中，作者将他的 @source_host 替换为字符串值，但我想使用在这种情况下从系统日志解析的实际值。

mutate {
  type => loc1
  replace => ["@source_host", "loc1"]
}
mutate {
  type => loc2
 replace => ["@source_host", "loc2"]
}

如何在我的日志中实际维护原始源主机？