作者 主題: syslog server問題  (閱讀 4302 次)

0 會員 與 1 訪客 正在閱讀本文。

k709135

  • 可愛的小學生
  • *
  • 文章數: 10
    • 檢視個人資料
syslog server問題
« 於: 2011-03-02 16:16 »
各位高手我有一台Fedora Core release 1 的syslog server專門接收switch上的log,
現在因為要求將所有log集中放在另外一台syslog server上面,請問我要怎設定才可以把自訂local0~6傳送給那一台syslog server
現在我有設定/etc/sysconfig/syslog   -r -h 已經可傳送local 0~6

但原先的Switch IP 變成傳送的syslog server IP....
要怎樣才能收到的時候還是原先switch IP
原先
Mar 2 10:19:27 Switch.IP.hinet-ip.hinet.net Mar 2 10:19:27: %AAA-5-NOTICE

變成
Mar 2 10:19:28 syslog.IP.hinet-ip.hinet.net Mar 2 10:19:28: %AAA-5-NOTICE:


Nansen

  • 活潑的大學生
  • ***
  • 文章數: 212
    • 檢視個人資料
回覆: syslog server問題
« 回覆 #1 於: 2011-03-02 20:49 »
做不到因為syslog是轉拋,IP是取收到那個封包的source IP

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
回覆: syslog server問題
« 回覆 #2 於: 2011-03-02 21:23 »
log 是哪台設備送出,就記錄哪台的 IP,這才是 log 的參考意義啊...

alva

  • 活潑的大學生
  • ***
  • 文章數: 315
    • 檢視個人資料
回覆: syslog server問題
« 回覆 #3 於: 2011-03-02 21:24 »
是可以將linux本身syslog往外丟

#vim /etc/syslog.conf
local7.*          @remote.host.ip

參考看看是不是你要的,

鳥哥的 Linux 私房菜
http://linux.vbird.org/linux_basic/0570syslog.php#syslogd_conf

k709135

  • 可愛的小學生
  • *
  • 文章數: 10
    • 檢視個人資料
回覆: syslog server問題
« 回覆 #4 於: 2011-03-03 17:31 »
感謝先解答我的疑惑,所以現在就沒辦法知道最原始switch的IP了只會記得轉拋的server IP。
看來只好從switch上多設定一台syslog。
各位有知道可以從已經蒐集所有switch log的server再全部送至另一台syslog server但還是保留原有的資訊存在。

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
回覆: syslog server問題
« 回覆 #5 於: 2011-03-03 20:16 »
各位有知道可以從已經蒐集所有switch log的server再全部送至另一台syslog server但還是保留原有的資訊存在。

switch 我是不知道啦。
如果都是 Linux 的話,本來就可以如此。

k709135

  • 可愛的小學生
  • *
  • 文章數: 10
    • 檢視個人資料
回覆: syslog server問題
« 回覆 #6 於: 2011-03-04 16:51 »
只是如果利用原有syslogd 再轉拋到第二台syslog server 來源位置就會變更了,如同Nansen 大大所說的。
並不會還保留原有switch的IP了而變成syslog A 的IP。

Nansen

  • 活潑的大學生
  • ***
  • 文章數: 212
    • 檢視個人資料
回覆: syslog server問題
« 回覆 #7 於: 2011-03-04 19:54 »
syslog封包格式中只有分類跟等級再來就是訊息本文了
有個解法是弄一個UDP sniffer接收514 port收到的封包把"來源IP加在訊息本文中"再轉拋到另一台
別使用syslog內建的轉拋功能 :P

bunko

  • 懷疑的國中生
  • **
  • 文章數: 67
    • 檢視個人資料
回覆: syslog server問題
« 回覆 #8 於: 2011-03-04 22:14 »
syslog封包格式中只有分類跟等級再來就是訊息本文了
有個解法是弄一個UDP sniffer接收514 port收到的封包把"來源IP加在訊息本文中"再轉拋到另一台
別使用syslog內建的轉拋功能 :P

http://linux.softpedia.com/get/System/Networking/passlogd-14273.shtml
這裡有一個passlogd,它會sniff 514 port的封包.

passlogd features the following command line options:

-h display this message
-s log captured messages to local syslog
-r reverse lookup ip addresses
-d debug mode
-i ignore packets from
-p listen for syslog packets to (default: 514)
-e set the interface to listen on
-f log to (default: /var/log/passlog)
-S use syslog format in logfile

搭配使用看看.