Syslog и маршрутизатор Huawei серии AR

0

1

Всем привет. Настроил сислог сервер на debian 11 в связке rsyslog, mariadb и LogAnalyzer. Проблема началась с логами от данного маршрутизатора:

May  5 13:05:07 2022-5-5 10: 05:32 router %%01NTP/4/PEER_SELE(l)[246118]:The peer selected by the system is 192.168.1.2.
May  5 13:05:08 2022-5-5 10: 05:33 router %%01NTP/4/SOURCE_LOST(l)[246119]:System synchronization source lost.
May  5 13:05:11 2022-5-5 10: 05:36 router %%01DEFD/4/CPCAR_DROP_MPU(l)[246120]:Some packets are dropped by cpcar on the MPU. (Packet-type=arp-request, Drop-Count=32)

Я тут вижу, что вместо hostname/IP роутер присылает дату, а в поле Syslogtag время. Соответственно это не удобно. Можно ли это как-то пофиксить средствами rsyslog? И логи от свитча dlink для примера:

Apr 29 14:35:04 192.168.1.1 INFO: SNMP request received from 192.168.1.20 with invalid community string!
Apr 29 14:35:05 192.168.1.1 INFO: SNMP request received from 192.168.1.20 with invalid community string!

←	Nftables failover wan

VPN и RDP

→

создаешь template() с теми параметрами которые тебе нужны. Средств разбора строки сообщения в rsyslog достаточно.

vel ★★★★★
(05.05.22 15:34:27 MSK)

Это не роутер присылает дату вместо hostname/IP.

Видишь, у тебя дата 2 раза?

Это железка шлет сообщение в формате, который Rsyslog неправильно парсит. Он не понимает, что дата уже есть, думает, что сообщение вообще без даты, и добавляет свою собственную. Т.е. первая дата - та, которую добавил Rsyslog, вторая - та, которая пришла от железки.

У Rsyslog есть для этого все средства, даже свой мини-язык, так что все решаемо средствами Rsyslog.

https://www.rsyslog.com/doc/v8-stable/configuration/templates.html

bigbit ★★★★★
(05.05.22 15:35:26 MSK)

Ответ на: комментарий от bigbit 05.05.22 15:35:26 MSK

Со временем разобрался, настройкой на самой железке отключив timestamp. Но осталось одно «НО».

May  6 13:18:33 192.168.1.254  router %%01NTP/4/LEAP_CHANGE(l)[274338]:System leap changes from 3 to 0 after clock update.
May  6 13:18:33 192.168.1.254  router %%01NTP/4/STRATUM_CHANGE(l)[274339]:System stratum changes from 16 to 2 after clock update.
May  6 13:18:33 192.168.1.254  router %%01NTP/4/PEER_SELE(l)[274340]:The peer selected by the system is 192.168.1.2.

Нужно убрать hostname. Вот только не получается, синтаксис сислога мне до конца не понятен. Примеры в инете есть, но они не дают должного эффекта.

bredis
(06.05.22 13:23:49 MSK) автор топика

←	Nftables failover wan

Admin

VPN и RDP

→

Похожие темы