У меня есть узлы DMZ, пересылающие их в системный журнал DMZ, который, в свою очередь, пересылает все сообщения системного журнала на внутренний сервер системного журнала. По большей части он работает нормально, но все сообщения хоста внутреннего системного журнала, похоже, поступают из системного журнала DMZ, то есть теряются исходные имена хостов.
{Hosts} -> {DMZ syslog: openbsd: syslog v 1.17} -> {Internal Syslog: rsyslog v3}
Как я могу сохранить имена хостов?
Спасибо!
Настройте /etc/rsyslog.conf, чтобы сохранить полное доменное имя: $PreserveFQDN on
Лично я бы рекомендовал использовать syslog-ng для вашего внутреннего сервера - он предоставляет гораздо больше, чем rsyslog. Особый интерес в вашем случае он обеспечивает гораздо лучшую обработку для управления / перезаписи / и т.д. для имен хостов.
Если вы решите придерживаться rsyslog, эта конфигурация сохраняет как удаленные, так и локальные имена хостов - это то, что я использовал перед переключением на syslog-ng.
$ModLoad imuxsock.so
$ModLoad imklog.so
$ModLoad imudp.so
$UDPServerRun 514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg *
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
Я также использовал параметры "-c 4" в моем сценарии инициализации, если это важно.
Передача сообщения системного журнала в netcat добавит имя хоста.
Простой способ - передать сообщения по конвейеру с помощью netcat (nc) в файле syslog.conf следующим образом:
. "ТАБЛИЦА" | nc RemoteLogServer -u 514 -w 1 "
Перед символом вертикальной черты необходимо вставить символ TAB.