Rsyslog TCP

kullanarak bağlantı noktası 5000 üzerindeki yerel syslog anasistemine günlük iletileri iletmek için Rsyslog için birkaç SSH iletisini yerel sistemde belirli bir TCP bağlantı noktası 5000'e yönlendirmek için aşağıdaki filtreyi yapılandırdım, böylece 5000 üzerinde çalışan hizmet SSH mesajlarını daha fazla işleyecek.Rsyslog TCP

if $fromhost-ip == '127.0.0.1' and (($msg contains 'SSH') and ($msg contains 'Test')) then @@127.0.0.1:5000

Her şey iyi görünüyor, ama mesajlar port 5000 yönlendirilmez ve biz UDP bağlantı noktası mesaj doğrudan olmadığını gayet iyi çalışıyor.

Aşağıda UDP bağlantı noktasına yönlendiren iletiler için filtre var.

if $fromhost-ip == '127.0.0.1' and (($msg contains 'SSH') and ($msg contains 'Test')) then @127.0.0.1:5000

Lütfen, neden TCP bağlantı noktasının çalışmadığını ve UDP bağlantı noktasının çalıştığını söyler misiniz?

kaynak

2017-02-21 sach

bir güvenlik duvarı yoldan çıkıyor. Telnet 127.0.0.1 5000' başarıyla bağlanıyor mu veya hata veriyor mu? –

@MarkPlotnick, Telnet, iyi çalışıyor. root @ blr09> telnet 127.0.0.1 5000 127.0.0.1 çalışıyor ... 127.0.0.1 ile bağlandı. Kaçış karakteri '^]' dir. ^] telnet> – sach

rsyslog'un aslında bağlantı noktasını dinlediğini doğrulayabilir misiniz? netstat -tnlp | grep rsyslog'? Daha sonra güvenlik duvarının da yapılandırıldığından emin olun (yani, fedorada): 'firewall-cmd --zone = zone --add-port = 5000/tcp' – Arash

RELP'i kullanmaya karar verebilir misiniz? (https://en.wikipedia.org/wiki/Reliable_Event_Logging_Protocol) Eğer "o zaman @ 127.0.0.1: 5000" değiştirmeniz gerekiyor https://linux.die.net/man/5/rsyslog.conf

de açıklandığı gibi

için "o zaman: omrelp: 127.0.0.1: 5000" Belki

kaynak

2017-03-02 07:06:49

Ben omrelp eklemek ve rsyslog yeniden başlattığınızda hata alıyorum. "Mar 2 04:40:31 blr09 rsyslogd-2207: /etc/rsyslog.d/atl_security.conf dosyasında, satır 1'de veya satırda ayrıştırma sırasında hata oluştu: '/etc/rsyslog.d/atl_security dosyasında hatalar oluştu. 'satır 1 civarında [http://www.rsyslog.com/e/2207 adresini deneyin] " root @ blr09> cat /etc/rsyslog.d/atl_security.conf $ fromhost-ip ==' 127.0. 0.1 've (($ msg' SSH 'içerir) ve ($ msg' Test 'içerir)): omrelp: 127.0.0.1: 5000 root @ blr09> – sach

Lütfen rsyslogd -v'nin –

root @ blr09 çıktısını sağlayabilir misiniz? > rsyslogd -v rsyslogd 7.4. FEATURE_REGEXP: derlenen 7, Evet FEATURE_LARGEFILE: Hayır GSSAPI Kerberos 5 desteği: Evet FEATURE_DEBUG (hata ayıklama yapısı, yavaş kodu): Desteklenen Hayır 32bit Atom operasyonlar: Evet 64bit Atom operasyonlar desteklenir: Evet Süre Enstrümantasyon (yavaş kod): Hayır Uuid desteği: Evet fazla bilgi için http://www.rsyslog.com bakın. root @ blr09> – sach

cevap

İlgili konular