Я пытаюсь настроить централизованный сервер rsyslog на CentOS 6.5 для маршрутизаторов и коммутаторов Cisco. На устройствах Cisco я установил правильную дату / время и включил временные метки, ведение журнала на сервер через TCP через порт 514, установил для функции local4 для маршрутизаторов и local5 для коммутаторов, а также задержал отладку для тестирования.
В /etc/rsyslog.conf я включил TCP и установил local4. * Для входа в /var/log/cisco/routers.log и local5. * Для входа в /var/log/cisco/switches.log.
Я проверил SELinux и никаких нарушений не обнаружил. Я тестировал с включенным брандмауэром (разрешенный порт 514) и выключенным iptables. Я вижу, что соединения установлены, и tcpdump показывает, что пакеты syslog поступают на сервер, но syslog ничего не записывает в файлы. Он также не регистрирует ничего, полученного в / var / log / messages.
Когда я тестировал UDP, он работал отлично. И это было без изменения $ AllowedSender. Есть идеи, в чем может быть проблема?
В зависимости от оборудования cisco и версии IOS, которую вы используете, может оказаться невозможным фактическая отправка с устройства через TCP на сервер системного журнала.
Вкратце: используйте UDP. Если это не вариант, этот технический документ может помочь вам в деталях, как вы можете настроить ведение журнала.
короткая частично относящаяся к делу цитата из статьи:
«Один из способов - развернуть такой инструмент, как syslog-ng, реализацию протокола Syslog с открытым исходным кодом для UNIX (Solaris) и UNIX-подобных систем (Linux). Он расширяет исходную модель демона syslog с помощью фильтрации на основе содержимого, богатой фильтрации возможности и гибкие параметры конфигурации, а также добавляет важные функции в Syslog, такие как использование TCP в качестве транспортного протокола между серверами syslog-ng. (Многие поставщики оборудования не поддерживают транспорт TCP в настоящее время ».
(обратите внимание, что документ от 2009 г.)
Поддержка TCP ... [доступна в] выпусках ПО Cisco IOS после 12.4 (11) T, 12.2 (33) SRB, 12.2 (33) SB и Cisco IOS XE Release 2.1 12.2 (33) SXI.
Похоже, вам нужно настроить часть конфигурации $ imtcp.
module(load="imtcp" MaxSessions="500")
input(type="imtcp" port="514")
Добавьте это в начало rsyslog.conf, затем перезапустите службу.
Убедитесь, что rsyslogd действительно прослушивает TCP-порт, используя netstat -tplne Возможно, вы неправильно включили TCP-сокет. вы также запускаете rsyslog, чтобы выяснить, что происходит (-d)