как подружить syslog-клиент и rsyslog-сервер?

0

0

Всем доброго дня.

Прошу помочь с задачей. Есть pfsense, в него встроен syslog, который может слать на сервер логи. У меня же есть rsyslog сервер, который уже со всей сети всё собирает. Вопрос втом, как их подружить? конфиги схожие, но сервер не собирает данные с этого хоста.

Конфиг клиента syslog:

!radvd,routed,olsrd,zebra,ospfd,bgpd,miniupnpd
*.*                                                             %/var/log/routing.log
!ntp,ntpd,ntpdate
*.*                                                             %/var/log/ntpd.log
!ppp
*.*                                                             %/var/log/ppp.log
!pptps
*.*                                                             %/var/log/pptps.log
!poes
*.*                                                             %/var/log/poes.log
!l2tps
*.*                                                             %/var/log/l2tps.log
!charon,ipsec_starter
*.*                                                             %/var/log/ipsec.log
!openvpn
*.*                                                             %/var/log/openvpn.log
!apinger
*.*                                                             %/var/log/gateways.log
!dnsmasq,filterdns,unbound
*.*                                                             %/var/log/resolver.log
!dhcpd,dhcrelay,dhclient,dhcp6c
*.*                                                             %/var/log/dhcpd.log
!relayd
*.*                                                             %/var/log/relayd.log
!hostapd
*.*                                                             %/var/log/wireless.log
!filterlog
*.*                                                             %/var/log/filter.log
!-ntp,ntpd,ntpdate,charon,ipsec_starter,openvpn,pptps,poes,l2tps,relayd,hostapd,dnsmasq,filterdns,unbound,dhcpd,dhcrelay,dhclient,dhcp6c,apinger,radvd,routed,olsrd,zebra,ospfd,bgpd,miniupnpd
,filterlog
local3.*                                                        %/var/log/vpn.log
local4.*                                                        %/var/log/portalauth.log
local7.*                                                        %/var/log/dhcpd.log
*.notice;kern.debug;lpr.info;mail.crit;daemon.none;             %/var/log/system.log
news.err;local0.none;local3.none;local4.none;                   %/var/log/system.log
local7.none                                                     %/var/log/system.log
security.*                                                      %/var/log/system.log
auth.info;authpriv.info;daemon.info                             %/var/log/system.log
auth.info;authpriv.info                                         |exec /usr/local/sbin/sshlockout_pf 15
*.emerg                                                         *
!*
*.*                                                             @x.x.x.x

x.x.x.x - это ip сервера

iptables на сервере:

28       0     0 ACCEPT     all  --  *      *       y.y.y.y        0.0.0.0/0

y.y.y.y - это ip клиента

tcpdump вроде показывает, что на сервер данные приходят, из чего делаю вывод, что rsyslog не хочет понимать syslog.

ставить на pfsense rsyslog дело неблагодарное, в гугле мало что есть, только однипроблемы с этим (например, вот https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&am... ) там то не заводится, то конфиг перетирается при ребуте, итд.

Какие будут идеи?

Ссылка

←	Не работает WiFi (Ralink RT5390) в Gentoo

Samba 4 AD и миграция VM на free Hyper-V 2012R2

→

Мне рекомендовали заменить rsyslog на syslog-ng. В нём всей настройки: в /etc/syslog-ng/syslog-ng.conf в options

        create_dirs (yes);
        dir_group(adm);
        dir_perm(0750);

и описать сбор:

source s_net { udp(ip(0.0.0.0) port(514)); };

destination d_net {
   file( "/var/log/remote/$HOST/$HOST.$FACILITY.log" template("$DATE $FACILITY $MESSAGE\n") template_escape(off) perm(0640) group(adm) );
   };

log { source(s_net); destination(d_net); };

sin_a ★★★★★
(04.08.15 14:26:54 MSK)

Ссылка

Конфиг сервера-то покажи.

generator ★★★
(04.08.15 14:37:23 MSK)

Ответ на: комментарий от generator 04.08.15 14:37:23 MSK

sin_a, спасибо, конечно, но это оч некруто из-за одного сервера pfsense переделывать сервер логов.

generator, да, забыл конфиг. Там вроде ничего нет необычного:

$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog   # provides kernel logging support
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$WorkDirectory /var/spool/rsyslog
$IncludeConfig /etc/rsyslog.d/*.conf
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
#cron.*                         /var/log/cron.log
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
lpr.*                           -/var/log/lpr.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log
mail.info                       -/var/log/mail.info
mail.warn                       -/var/log/mail.warn
mail.err                        /var/log/mail.err
news.crit                       /var/log/news/news.crit
news.err                        /var/log/news/news.err
news.notice                     -/var/log/news/news.notice

*.=debug;\
        auth,authpriv.none;\
        news.none;mail.none     -/var/log/debug
*.=info;*.=notice;*.=warn;\
        auth,authpriv.none;\
        cron,daemon.none;\
        mail,news.none          -/var/log/messages

*.emerg                         :omusrmsg:*

daemon.*;mail.*;\
        news.err;\
        *.=debug;*.=info;\
        *.=notice;*.=warn       |/dev/xconsole

Piter_prbg
(04.08.15 14:49:30 MSK) автор топика

Ответ на: комментарий от Piter_prbg 04.08.15 14:49:30 MSK

rsyslog сервер, который уже со всей сети всё собирает

А остальная сеть тоже по udp сообщения шлёт?

Вообще фаервол перепроверь, неткатом послушай порт, приходит ли от клиента туда что-то..

generator ★★★
(04.08.15 15:41:54 MSK)

Ответ на: комментарий от generator 04.08.15 15:41:54 MSK

generator, На сколько я вижу, да, исполььзуется udp, хотя вроде кто-то и по tcp слал, сейчас точно не помню.

да я tcpdump'oм вижу на сервере, что с клиента инфа идёт. Особенно когда я инициирую логгируемые действия.

Piter_prbg
(04.08.15 16:53:45 MSK) автор топика

Ответ на: комментарий от Piter_prbg 04.08.15 16:53:45 MSK

я tcpdump'oм вижу на сервере, что с клиента инфа идёт

Так tcpdump с интерфейса данные снимает. Фаервол может блокировать, даже если в tcpdump пакеты видны.

generator ★★★
(04.08.15 17:14:34 MSK)

Ответ на: комментарий от generator 04.08.15 17:14:34 MSK

Ты был прав. Я на iptables не туда строчку запихнул.. на деле - rsyslog видит и понимает логи syslog. спасибо = )

Странно только, что hostname у pfsense на rsyslog сервере его видно как айпишник.

Piter_prbg
(04.08.15 17:58:54 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Не работает WiFi (Ralink RT5390) в Gentoo

Admin

Samba 4 AD и миграция VM на free Hyper-V 2012R2

→

Похожие темы