Graylog не читает логов с Cisco и Fortigate

0

1

Привет всем! Настало время за 15 лет зарегистрироваться на ЛОРе :)

Наконец-то руки дошли до централизованного сбора логов. Установлен graylog. С хостов через UDP Syslog на порту 5454 парсит отлично. Добавляю еще два входа на разные порты:

Cisco switches on 5455 - UDP Syslog

Fortigate on 5456 - Raw TCP

И на одного сообщения на входе. Хотя, через tcpdump на обоих портах данные летают, «аж гай шумит».

sudo tcpdump -i ens32 tcp port 5456 -vv -X
tcpdump: listening on ens32, link-type EN10MB (Ethernet), capture size 65535 bytes
16:04:10.780000 IP (tos 0x0, ttl 64, id 49554, offset 0, flags [DF], proto TCP (6), length 60)
    fortigate.l.fancyfon.com.20931 > hound.l.fancyfon.com.apc-5456: Flags [S], cksum 0xb7dd (correct), seq 1188273587, win 5840, options [mss 1460,sackOK,TS val 576516339 ecr 0,nop,wscale 1], length 0
        0x0000:  4500 003c c192 4000 4006 5ebb c0a8 4d02  E..<..@.@.^...M.
        0x0010:  c0a8 4c1b 51c3 1550 46d3 9db3 0000 0000  ..L.Q..PF.......
        0x0020:  a002 16d0 b7dd 0000 0204 05b4 0402 080a  ................
        0x0030:  225c f0f3 0000 0000 0103 0301            "\..........
16:04:10.840930 IP (tos 0x0, ttl 64, id 31102, offset 0, flags [DF], proto TCP (6), length 60)
    fortigate.l.fancyfon.com.20933 > hound.l.fancyfon.com.apc-5456: Flags [S], cksum 0x3406 (correct), seq 1123886428, win 5840, options [mss 1460,sackOK,TS val 576516342 ecr 0,nop,wscale 1], length 0
        0x0000:  4500 003c 797e 4000 4006 a6cf c0a8 4d02  E..<y~@.@.....M.
        0x0010:  c0a8 4c1b 51c5 1550 42fd 255c 0000 0000  ..L.Q..PB.%\....
        0x0020:  a002 16d0 3406 0000 0204 05b4 0402 080a  ....4...........
        0x0030:  225c f0f6 0000 0000 0103 0301            "\..........

sudo tcpdump -i ens32 udp port 5455 -vv -X
tcpdump: listening on ens32, link-type EN10MB (Ethernet), capture size 65535 bytes
16:04:59.592365 IP (tos 0x0, ttl 64, id 8851, offset 0, flags [none], proto UDP (17), length 53)
    pnt-switch.l.fancyfon.com.syslog > hound.l.fancyfon.com.apc-5455: [no cksum] SYSLOG, length: 25
        Facility local7 (23), Severity warning (4)
        Msg: %LINK-W-Down:  g29\0x0d\0x0a
        0x0000:  3c31 3838 3e25 4c49 4e4b 2d57 2d44 6f77
        0x0010:  6e3a 2020 6732 390d 0a
        0x0000:  4500 0035 2293 0000 4011 3d93 c0a8 4d26  E..5"...@.=...M&
        0x0010:  c0a8 4c1b 0202 154f 0021 0000 3c31 3838  ..L....O.!..<188
        0x0020:  3e25 4c49 4e4b 2d57 2d44 6f77 6e3a 2020  >%LINK-W-Down:..
        0x0030:  6732 390d 0a                             g29..
16:05:00.150881 IP (tos 0x0, ttl 64, id 2261, offset 0, flags [none], proto UDP (17), length 50)
    oki-c5850.l.fancyfon.com.syslog > hound.l.fancyfon.com.apc-5455: [no cksum] SYSLOG, length: 22
        Facility local7 (23), Severity info (6)
        Msg: %LINK-I-Up:  g6\0x0d\0x0a
        0x0000:  3c31 3930 3e25 4c49 4e4b 2d49 2d55 703a
        0x0010:  2020 6736 0d0a
        0x0000:  4500 0032 08d5 0000 4011 5777 c0a8 4d03  E..2....@.Ww..M.
        0x0010:  c0a8 4c1b 0202 154f 001e 0000 3c31 3930  ..L....O....<190
        0x0020:  3e25 4c49 4e4b 2d49 2d55 703a 2020 6736  >%LINK-I-Up:..g6
        0x0030:  0d0a                                     ..

Еще интересный момент - если указываю цискам отправлять лог на 5454 - то работают. Но хотелось бы отделить ~~зерна от плевел~~ хосты от свитчей

Спасибо за помощь.

Ссылка

Но хотелось бы отделить зерна от плевел хосты от свитчей

Ну так syslog-ng же:

destination remote_by_host {
file( «/var/log/remote_logs/$HOST.log» );
};

AS ★★★★★
(15.02.16 18:22:20 MSK)

Ответ на: комментарий от AS 15.02.16 18:22:20 MSK

Не совсем то. Хотелось бы использовать средства graylog

shotokan
(16.02.16 00:27:00 MSK) автор топика

Похожие темы