-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-02-10 a las 20:14 -0300, Victor Hugo dos Santos escribió:
El 2006-02-10 a las 22:39 +0100, Camaleón escribió:
Me preguntaba si es posible configurar los registros que generan ciertos programas de forma independiente, vamos, que no se vayan todos al "messages" que es un caos...
ok.. esto si se puedes !!! man 8 syslog.conf
Sobretodo si se está usando syslog-ng en vez del syslog estandard.
Por ejemplo, Hylafax, Cyrus y Spamassassin permiten configurar un registro independiente, pero la pregunta es: ¿puedo poner el nombre que quiera o tiene que ser "localx"? La idea es que los registros queden divididos como por ejemplo, los del correo (Postfix) en eventos informativos (mail.info), alertas (mail.warn) y errores (mail.err) o las salidas/eventos que genere/permita el programa. ¿Qué limitaciones hay en este aspecto?
mmmm.. hay nombres especificos para seren utilizados (auth, authpriv, cron, daemon, kern, lpr, mail, mark, news, security/, syslog, user, uucp, local0 hasta local7)... en teoria puedes utilizar cualquer de estos con syslog.. pero no otro !!! :-(
Si, y además es una elección del programador de esos programas (hylafax... etc); aunque hay algunos programas que permiten configurarlo. Y hay "facilidades" definidas como "mail", pero no hay otra para "firewall" que sería muy util. Eso se ha quedado estancado, no lo tocan. En lugar de tocarlo, lo que han hecho es hacer un nuevo programa "capturador" de logs, el syslog-ng, de "next generation" (el nombre vendrá por lo de ST: NG -- je je). Este programa lo que hace es aplicar filtros por expresiones regexp.
¿Es posible configurar un registro para Hylafax, llamado "hylafax", o debe ser "localx"?
no .. no se puede !!! :-(
¿Cómo sé los "local" que quedan disponibles o que no se están utilizando?
mmmm.. "acredito" que no exista una manera de saberlo , ojala si, exista una herrmanta !!! pues del contrario deberias de revisar los programas que hiciste las configuraciones para saberlos !!!
Y muchas veces no se puede tocar, ni se sabe por cual entran. Ahora bien, en el syslog-ng se puede capturar la salida a fichero (socket) de otro programa. En "/etc/sysconfig/syslog" están predefinidos varios: SYSLOGD_ADDITIONAL_SOCKET_NAMED="/var/lib/named/dev/log" SYSLOGD_ADDITIONAL_SOCKET_NTP="/var/lib/ntp/dev/log" SYSLOGD_ADDITIONAL_SOCKET_DHCP="/var/lib/dhcp/dev/log" Si miro, veo que son efectivamente sockets, enchufes: srw-rw-rw- 1 root root 0 Feb 11 00:32 /var/lib/ntp/dev/log= srw-rw-rw- 1 root root 0 Feb 11 00:32 /var/lib/named/dev/log= Y el syslog-ng.conf.in los introduce en su tragadera universal así: source src { # # include internal syslog-ng messages # note: the internal() soure is required! # internal(); # # the following line will be replaced by the # socket list generated by SuSEconfig using # variables from /etc/sysconfig/syslog: # @SuSEconfig_SOCKETS@ # # uncomment to process log messages from network: # #udp(ip("0.0.0.0") port(514)); # #Cer: Better define another source, and internal data will not be contaminated. # ie, I don't have to filter out external messages. }; Que se convierten en: unix-dgram("/dev/log"); unix-dgram("/var/lib/dhcp/dev/log"); unix-dgram("/var/lib/named/dev/log"); unix-dgram("/var/lib/ntp/dev/log"); Y, si no me equivoco, eso hace que esos mensajes aparezcan en el /var/log/messages, aunque esos programas estén en su chroot: Feb 11 00:45:33 nimrodel ntpd[26600]: frequency initialized 12.222 PPM from /var/lib/ntp/drift/ntp.drift Bueno, más o menos. Si lo que quieres es separar los mensajes del hylafax, es facil. Veamos un mensaje cualquiera: Jan 25 21:16:41 nimrodel HylaFAX[7907]: Filesystem has SysV-style file creation semantics. | fecha | host | prog | pid | texto (match) --> Esos son los campos por los que podemos filtrar - además de facility y level que no se visualizan en los mensajes. Entonces definiríamos: filter f_hylafax { (program("amavis"); }; ... destination hylafax { file("/var/log/hylafax"); }; log { source(src); filter(f_hylafax); destination(f_hylafax); }; Y ya tendríamos los mensajes del hylafax en otro fichero. Para activarlo (eso se edita todo en el /etc/syslog-ng/syslog-ng.conf.in), se hace: SuSEconfig --module syslog-ng rcsyslog restart Si funciona bien, el siguiente paso sería quitarlos del "messages" - si quieres. Buscas esta regla (o equivalente): #filter f_messages { not facility(news, mail) and not filter(f_iptables); }; y añades, antes del punto y coma dentro de la llave "and not filter(f_hylafax)". Y ya debería estar - despues de activarlo. Hazte una copia de seguridad antes de empezar a jugar ;-) Como ya digo, el syslog-ng es una maravilla ;-) - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD7S/ctTMYHG2NR9URAvxhAJ44mGAqR5rfC/+14qoKBpDCncVUAQCfTr6p b3kkPt7F4F+gTlLEhL6sZJI= =9up2 -----END PGP SIGNATURE-----