タグ付けされた質問 「rsyslog」

rsyslogを使用して、ログファイルごとに異なる権限を定義することは可能ですか？ $ FileCreateModeはすべてに適用されますが、特定のファイルに対して異なるアクセス許可が必要です。

9 permissions  log-files  rsyslog 

私の構成では、/home/user/my_app/shared/log/unicorn.stderr.log使用の次の変更を担当するrsyslogがありますimfile。コンテンツはTCPを使用して別のリモートログサーバーに送信されます。 ログファイルがローテーションすると、rsyslogはリモートサーバーへのデータ送信を停止します。 rsyslogをリロードしてHUPシグナルを送信し、それを完全に再起動してみましたが、何も機能しませんでした。 実際に機能することがわかった唯一の方法は汚いものでした。 サービスを停止し、rsyslog statファイルを削除して、rsyslogを再起動します。これらすべては、私のlogrotateファイルのpostrotateフックにあります。 kill -9 rsyslogを実行してやり直してください。 rsyslog内部に触れずにこれを行う適切な方法はありますか？ Rsyslogファイル $ ModLoad immark $ ModLoad imudp $ ModLoad imtcp $ ModLoad imuxsock $ ModLoad imklog $ ModLoad imfile $ template WithoutTimeFormat、 "[環境] [％syslogtag％]-％msg％" $ WorkDirectory / var / spool / rsyslog $ InputFileName /home/user/my_app/shared/log/unicorn.stderr.log $ InputFileTag unicorn-stderr $ InputFileStateFile …

9 linux  logrotate  rsyslog 

次のようなログエントリがあります。 Apr 8 10:25:31 monitor postfix/smtpd[3131]: connect from localhost[127.0.0.1] Apr 8 10:25:31 monitor postfix/smtpd[3131]: lost connection after CONNECT from localhost[127.0.0.1] Apr 8 10:25:31 monitor postfix/smtpd[3131]: disconnect from localhost[127.0.0.1] すべてのローカル/リモートノードからの中央のrsyslogdログ監視ボックス（Debian Squeeze、Rsyslog 4.6.4、Postfix 2.7.1、両方ともリポジトリから）で毎分、私は次/etc/rsyslog.confの行をコメント化して情報メッセージを無効にしようとしました： #mail.info -/var/log/mail.info また、行を追加します *.*;auth,authpriv.none,cron.none,mail.none -/var/log/syslog Postfixからへのすべてのメールロギングを無効にするだろうと思っ/var/log/syslogていましたが、役に立ちません。他のmail.info mail.debugエントリを検索しましたが、次のようなエントリは1つしかありません。 mail.* -/var/log/mail.log 私もコメントアウトしましたが、それでも/var/log/syslogとにかくログが記録されるべきではないと思いますか？

9 postfix  syslog  rsyslog 

とりわけ、syslogアラートをログに記録し、syslogで次のエラーが繰り返し発生します。 command 'KLogPermitNonKernelFacility' is currently not permitted - did you already set it via a RainerScript command (v6+ config)? [v8.16.0 try http://www.rsyslog.com/e/2222 ] Ubuntu 16.04.1 LTS 4.4.0-42-genericの実行 それ以外の場合、サーバーは正常に動作しているようです。これからわか​​ることから、これはrsyslogにsyslogへの非カーネルイベントを許可するように通知します。これは私が望んでいることです。それ以上はわかりません。 こちらも受け取ります Could not open output pipe '/dev/xconsole':: No such file or directory [v8.16.0 try http://www.rsyslog.com/e/2039 ] 私は非常に、非常に不本意な開発者です。事前にごめんなさい。 *編集：syslogサービスを再起動しました。問題が解決しません。 *編集：/ dev / xconsoleエラーが抑制され、KLogPermitNonKernelFacilityエラーが引き続き発生します。

9 rsyslog  ubuntu-16.04 

で/var/log/cron.log以下の行のコメントを外してcrontabのログインを分離しました/etc/syslog.confが、それでもまだ書き込み/var/log/syslogます！ cron.* /var/log/cron.log 書き込みを防ぐにはどうすればよい/var/log/syslogですか？

9 logging  cron  rsyslog 

RsyslogはSyslog構成ファイルと下位互換性があります。 syslog.confのmanページには以下が含まれています。 各エントリの前にマイナス ``-''記号を付けると、すべてのロギング後にファイルの同期を省略できます。書き込みの直後にシステムがクラッシュすると、情報が失われる可能性があることに注意してください。それでも、特に非常に詳細な方法でロギングを使用するプログラムを実行する場合は、これによってパフォーマンスがある程度戻る可能性があります。 しかし、-サインインについて何かを見つけることができませんでしたman rsyslog.conf。 構成-ファイルを読み取る場合、rsyslogは何をしますか？

9 configuration  rsyslog 

背景：リモートログ集約は、セキュリティを向上させる方法の1つと見なされています。一般に、これは、システムを侵害する攻撃者がログを編集または削除して、フォレンジック分析を失敗させるリスクに対処します。一般的なログツールのセキュリティオプションを調査しています。 しかし、何かがおかしいと感じます。一般的なリモートロガー（rsyslog、syslog-ng、logstashなど）を構成して、受信メッセージが本当にホストから発信されたものであることを認証する方法がわかりません。なんらかのポリシーの制約がなければ、1つのログ発信者が別のログ発信者に代わってメッセージを偽造する可能性があります。 rsyslogの作者はログデータの認証について警告しているようです： 最後の注意点：transport-tlsは、送信者と受信者の間の接続を保護します。メッセージ自体に存在する攻撃から必ずしも保護するわけではありません。特にリレー環境では、メッセージは悪意のあるシステムから発信された可能性があり、無効なホスト名やその他のコンテンツがそのシステムに配置されています。そのようなものに対するプロビジョニングがない場合、これらのレコードは受信者のリポジトリに表示される可能性があります。-transport-tlsはこれから保護しません（ただし、適切に使用すると役立つ場合があります）。syslog-transport-tlsはホップバイホップのセキュリティを提供することに注意してください。エンドツーエンドのセキュリティは提供されず、メッセージ自体（最後の送信者のみ）は認証されません。 したがって、フォローアップの質問は次のとおりです。ある程度の信頼性を提供する（選択した一般的なログツール-rsyslog、syslog-ng、logstashなどの）良い/実用的な構成は何ですか？ または...誰もログデータを認証しない場合は、なぜですか？ - （余談：議論/比較では、RFC 5424のいくつかの図や用語を使用すると役立つ場合があります：セクション4.1：配備シナリオの例 -たとえば「発信元」対「リレー」対「コレクター」）

8 security  logging  rsyslog  logstash  syslog-ng 

私は古いサーバーから新しいサーバーにrsyslog構成を移行しているので、この機会を利用して構成を整理すると思いました。古い構成では「レガシー」テンプレート定義を使用していましたが、テンプレートに関するrsyslog文書では、そのような定義を新しいテンプレート構文に置き換えることを推奨しているため、これを試みました。 私は単にそれを機能させることができず、rsyslogを開始しようとしたときに得られるエラーは意味がありません。だから、私はrsyslogドキュメントを根本的に誤解しているか、RHEL6に含まれているrsyslogパッケージについて何かおかしいと思われるようです。 これは私が更新しようとしているレガシーテンプレートです： $template secureTemplate,"INSERT INTO var_log_secure (received_at, source_ip, source_hostname, logged_at, severity, service, message, severity_int, syslogtag) VALUES ('%timegenerated:::date-rfc3339%', '%fromhost-ip%', '%hostname%', '%timereported:::date-rfc3339%', '%syslogseverity-text%', '%programname%', '%msg%', '%syslogseverity%', '%syslogtag%')",STDSQL これは、rsyslogドキュメントを読んだ新しい構文の同じテンプレートでの私の試みです。 template(name="secureTemplate" type="string" option.stdsql="on" string="INSERT INTO var_log_secure (received_at, source_ip, source_hostname, logged_at, severity, service, message, severity_int, syslogtag) values ('%timegenerated:::date-rfc3339%', '%fromhost-ip%', '%hostname%', '%timereported:::date-rfc3339%', '%syslogseverity-text%', '%programname%', '%msg%', …

8 rhel6  rsyslog 

私は、Debianサーバーにログを送信する多くのCisco / JunOSルーターとスイッチを使用していますrsyslogd。 rsyslogd送信元IPアドレスに基づいて、これらのルーターまたはスイッチのログを特定のファイルに送信するように構成するにはどうすればよいですか？これらのエントリで一般的なシステムログを汚染したくありません。 例えば： シカゴのすべてのルーター（ソースIPブロック：172.17.25.0/24）のみにログを記録し/var/log/net/chicago.logます。 Dallas内のすべてのルーター（ソースIPブロック172.17.27.0/24）はにのみログを記録し/var/log/net/dallas.logます。 APF-3-RCV_UNSUPP_MSGログに記録せずにすべてのメッセージを削除する という名前のファイルに172.17.4.4のログを送信します /var/log/net/firewall.log UDPポート514を使用してファイアウォールログを10.14.12.12に転送する 最後に、これらのログは最大30日間毎日ローテーションして圧縮する必要があります。 注：私は自分の質問に答えています

8 linux  networking  unix  rsyslog 

ng 3.6.3のCentOS 6.6 64bitでのソースコンパイルから再生するために、デフォルトのrsyslogファイル名とログの場所をできるだけ複製するポインターまたはsyslog-ng.confの例があるかどうか疑問に思っていました。デフォルトのソースtarball /usr/local/etc/syslog-ng.confは、/ usr / local / etc / syslog-ng.confで次のもののみを提供します # Default syslog-ng.conf file which collects all local logs into a # single file called /var/log/messages. # @version: 3.6 @include "scl.conf" source s_local { system(); internal(); }; source s_network { udp(); }; destination d_local { file("/var/log/messages"); }; log …

1 centos  rsyslog  syslog-ng 

journaldログドライバーを使用してDockerを実行しています。rsyslog（v8.29.0）を使用してこれらのメッセージを収集し、コンテナーに関する情報が注釈されたファイルに書き込みます。私が遭遇した問題は、$!最初にローカルの$.名前空間などに移動しない限り、テンプレートの名前空間でメッセージプロパティを使用できないことです。 私はこの構成で始めました： module(load="imjournal" StateFile="imjournal.state") template(name="ContainerTemplate" type="list") { property(name="timereported" dateFormat="rfc3339" caseConversion="lower") constant(value=" ") property(name="$!CONTAINER_NAME") constant(value=" ") property(name="$!CONTAINER_ID") constant(value=" ") property(name="msg") constant(value="\n") } if (strlen($!CONTAINER_NAME) > 0) then { action(type="omfile" file="/var/log/containers.log" template="ContainerTemplate") } $!CONTAINER_NAMEおよび$!CONTAINER_IDが定義されている場合でも、結果のテンプレートでは空の文字列に展開されます。既存のプロパティの値を使用して新しいプロパティを明示的に設定することで、このように回避できます。 template(name="ContainerTemplate" type="list") { property(name="timereported" dateFormat="rfc3339" caseConversion="lower") constant(value=" ") property(name="$.container_name") constant(value=" ") property(name="$.container_id") constant(value=" ") property(name="msg") constant(value="\n") } if …

rsyslog