Я пытаюсь настроить централизованный сервер журналов. У меня есть центральный сервер (A), получающий журналы через удаленный сервер (B) через порт 514. Я знаю, что он их получает. Вот несколько записей из tcpdump на порту 514
# tcpdump port 514
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:49:52.136520 IP IP_FROM_SERVER_B.55558 > IP_FROM_SERVER_A.syslog: SYSLOG local0.notice, length: 474
10:49:52.136792 IP IP_FROM_SERVER_B.55558 > IP_FROM_SERVER_A.syslog: SYSLOG user.notice, length: 671
10:49:52.136838 IP IP_FROM_SERVER_B.55558 > IP_FROM_SERVER_A.syslog: SYSLOG user.info, length: 79
Вот как выглядит файл, в который он должен входить (я называю это /var/log/test.log).
May 16 10:43:19 SERVER_A kernel: imklog 3.22.1, log source = /proc/kmsg started.
May 16 10:43:19 SERVER_A rsyslogd: [origin software="rsyslogd" swVersion="3.22.1" x-pid="12974" x-info="http://www.rsyslog.com"] (re)start
May 16 10:49:08 SERVER_A kernel: device eth0 entered promiscuous mode
May 16 10:49:53 SERVER_A kernel: device eth0 left promiscuous mode
И вот мой rsyslog.conf
# Use traditional timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# Provides kernel logging support (previously done by rklogd)
$ModLoad imklog
# Provides support for local system logging (e.g. via logger command)
$ModLoad imuxsock
$ModLoad imtcp
$ModLoad imudp
$InputTCPServerRun 514
$UDPServerRun 514
# Write everything to test.log
*.* /var/log/test.log
*.info;mail;.none;authpriv.none;cron.none /var/log/messages
#----------DEFAULT-SETTINGS-----------#
#----------HAVE-NOT-CHANGED------------#
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
Я обязательно перезапускаю rsyslog каждый раз, когда редактирую rsyslog.conf и я запускаю демон запуска с -r и -t flags, даже если они устарели в моей текущей версии.
Так почему же на порт 514 ничего не записывается? test.log?
Редактировать: MadHatter попросил показать мне iptables вывод:
# iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
33 2988 udp -- eth0 * IP_ADDRESS_A 0.0.0.0/0
725K 420M RH-Firewall-1-INPUT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 RH-Firewall-1-INPUT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 231K packets, 189M bytes)
pkts bytes target prot opt in out source destination
Chain RH-Firewall-1-INPUT (2 references)
pkts bytes target prot opt in out source destination
135K 92M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
17 1808 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 255
0 0 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0
66 9195 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.251 udp dpt:5353
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:631
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
90284 11M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
7 420 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
500K 317M REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Вы уточнили, что ваш брандмауэр не принимает произвольный входящий UDP, по крайней мере, на порт 514, и это определенно будет проблемой.
Если вы хотите вставить вывод iptables -L -n -v в ваш вопрос, мы можем предложить iptables строка, чтобы открыть входящий UDP для rsyslog. В противном случае что-то вроде
iptables -I INPUT 1 -p udp --dport 514 -j ACCEPT
вероятно, сделает свою работу.
редактировать: Спасибо за iptables вывод, но хотя вы разрешаете UDP, исходящий от server_A, вы разрешаете его только в eth0 интерфейс; Вы можете подтвердить, что это правильный интерфейс?
Бегать ps -eaf | grep syslog чтобы убедиться, что он работает с опцией -r.
В противном случае вам следует отредактировать /etc/default/rsyslog с опцией:
RSYSLOGD_OPTIONS="-m 0 -r"
Перезапустите syslogd и проверьте.
я - нет rsyslog эксперт, но читающий документы вам может понадобиться
$UDPServerRun 514
поскольку у вас есть аналогичная директива только для TCP.
Я смог найти способ заставить его работать. Возможно, это не лучшее решение, но мой начальник посоветовал мне отключить iptables, благодаря чему все работало нормально. Чтобы этого больше не повторилось, я побежал chkconfig iptables off. Таким образом, он не будет запускаться снова при перезапуске сервера.
Это плохая идея, даже если сервер A не имеет доступа за пределами небольшой сети серверов.