не приходят логи на syslog-ng

0

1

Настроил удаленное логирование с роутера asus RT-N13U, в syslog-ng.conf прописал

source s_udp {
        udp();
        };
destination asus {
        file("/var/log/asus.log");
        };
filter f_asus {
        host("192.168.0.1");
        };
log {
        source(s_udp);
        filter(f_asus);
        destination(asus);
    };

создал файл /var/log/asus.log, перезапустил syslog-ng, настроил перенаправление логов на роутере. Но ничего не пишется в asus.log. Причем пакеты уходят на 514 порт, tcpdump:

14:30:51.443568 IP (tos 0x0, ttl 64, id 60714, offset 0, flags [DF], proto UDP (17), length 69)
    192.168.0.1.2054 > 192.168.0.71.514: SYSLOG, length: 41
        Facility user (1), Severity warning (4)
        Msg: kernel: ip_table: set wan_name=eth2.2

Где зарыта собака ? Ни в messages, ни в syslog-ng.log ничего существенного не пишется.

Ссылка

←	RAID исчез после перезагрузки

iptables log

→

На хосте с syslog-ng в iptables filter/INPUT порт открыт ?

на хосте tcpdump-ом пакеты видны ?

vel ★★★★★
(29.01.13 15:14:12 MSK)

Ответ на: комментарий от vel 29.01.13 15:14:12 MSK

да, все открыто, все видится.

riso ★
(29.01.13 16:03:27 MSK) автор топика

Ссылка

В режиме отладки не пробовали запускать ?

syslog-ng -Fevd

vel ★★★★★
(29.01.13 22:28:32 MSK)

Ответ на: комментарий от vel 29.01.13 22:28:32 MSK

вывод:

Syslog connection accepted; fd='9', client='AF_UNIX(anonymous)', local='AF_UNIX(/dev/log)'
Incoming log entry; line='<86>Jan 29 11:30:44 login[12526]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)'
Incoming log entry; line='<85>Jan 29 11:30:44 login[12623]: ROOT LOGIN  on \'/dev/tty1\''
Incoming log entry; line='<30>dnsmasq[369]: DHCPINFORM(br0) 192.168.0.38 50:46:5d:6f:02:f6 '
Filter rule evaluation begins; filter_rule='f_asus'
Filter node evaluation result; filter_result='not-match'
Filter rule evaluation result; filter_result='not-match', filter_rule='f_asus'

т.е. логи приходят, только почему-то не записываются. Смущает not_match

riso ★
(30.01.13 11:04:10 MSK) автор топика

Ответ на: комментарий от riso 30.01.13 11:04:10 MSK

Имя хоста можно посмотреть tcpdump-om. В большенстве случаев оно нифига не ip-адрес устройства.

там вроде был более правильный фильтр для ip-шников типа «netmask(192.168.0.1/32)»

vel ★★★★★
(30.01.13 11:12:34 MSK)

Ответ на: комментарий от vel 30.01.13 11:12:34 MSK

Подставил имя хоста, результат тот же. В доках я не нашел уточнения о имени или ip хоста, но во многих примерах пишется ip.

riso ★
(30.01.13 12:35:59 MSK) автор топика

Ссылка

Решил проблему добавлением facility(user, daemon) в filter.

riso ★
(30.01.13 16:42:52 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	RAID исчез после перезагрузки

Admin

iptables log

→

Похожие темы