[opensuse-es] Log del Router y SysLog-ng
Hola. Estoy intentando capturar los logs del router con un servidor en SuSE 10.3 He editado el fichero /etc/syslog-ng.conf y he añadido las siguientes líneas: filter f_router { host("192.168.1.1");}; destination usrobotics {"/var/log/router.log");}; log { source (src); filter (f_router); destination (usrobotics); }; También he activado en syslog-ng.conf la línea para que escuche en el puerto UDP 514 en toda la red y he abierto este puerto en el cortafuegos. En el router, al que tengo puesta la IP 192.168.1.1, he activado la opción correspondiente para que envie el log a la IP del servidor por el puerto UDP 514. Sin embargo en /var/log/router.log (puesto en chmod 640) no recibo ni un p*to bit. A alguien se le ocurre en donde me estoy equivocando o qué me estoy dejando :-? -- Saludos, J.M.Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-26 a las 20:53 +0100, J.M.Queralt escribió:
Hola.
Estoy intentando capturar los logs del router con un servidor en SuSE 10.3
He editado el fichero /etc/syslog-ng.conf y he añadido las siguientes líneas:
filter f_router { host("192.168.1.1");};
destination usrobotics {"/var/log/router.log");};
log { source (src); filter (f_router); destination (usrobotics); };
También he activado en syslog-ng.conf la línea para que escuche en el puerto UDP 514 en toda la red y he abierto este puerto en el cortafuegos.
En el router, al que tengo puesta la IP 192.168.1.1, he activado la opción correspondiente para que envie el log a la IP del servidor por el puerto UDP 514.
Sin embargo en /var/log/router.log (puesto en chmod 640) no recibo ni un p*to bit.
A alguien se le ocurre en donde me estoy equivocando o qué me estoy dejando :-?
Te falta crear el "source". Es decir, meter en source src {...} la fuente externa, o crear otra fuente, que es lo que yo hago. A ver, yo lo tengo así y funciona limpiamente: source ext { udp(ip("0.0.0.0") port(514)); }; ... filter f_router { host("router"); }; #Cer ... #Cer - router adsl destination router { file("/var/log/router"); }; log { source(ext); filter(f_router); destination(router); }; - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHm5VntTMYHG2NR9URAlKbAJ0Ra5k9ybY0mjHELENSKes2ZJJ6AgCfYedr nrhasvlp6o0ETgFdgojefwc= =I8hO -----END PGP SIGNATURE-----
También he activado en syslog-ng.conf la línea para que escuche en el puerto UDP 514 en toda la red y he abierto este puerto en el cortafuegos.
Te falta crear el "source". Es decir, meter en source src {...} la fuente externa, o crear otra fuente, que es lo que yo hago.
Creía que eso era la activación que debía hacer en source src. :-) Yo la tengo así: source src { . . . . udp(ip("0.0.0.0") port(514)); };
A ver, yo lo tengo así y funciona limpiamente:
source ext { udp(ip("0.0.0.0") port(514)); };
Voy a probarlo definiendo el nuevo "source ext" -- Saludos, J.M.Queralt
filter f_router { host("192.168.1.1");}; destination usrobotics {"/var/log/router.log");}; log { source (src); filter (f_router); destination (usrobotics); };
Al final te he copiado la configuración. He suprimido el UDP del source scr y he creado el source ext
source ext { udp(ip("0.0.0.0") port(514)); };
He quitado el 192.168.1.1 del filtro y lo he cambiado por el "router"
filter f_router { host("router"); }; ...
Y ahí solo he variado el nombre del fichero por "router.log"
destination router { file("/var/log/router"); }; log { source(ext); filter(f_router); destination(router); };
Y SI, funciona limpiamente. Infinitas gracias. :-) -- Saludos, J.M.Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-26 a las 22:37 +0100, J.M.Queralt escribió:
Al final te he copiado la configuración. He suprimido el UDP del source scr y he creado el source ext
Es que eso me dio guerra a mí también, y como el chisme ese no saca un log verboso de sus propios problemas, pues es muy dificil de diagnosticar.
He quitado el 192.168.1.1 del filtro y lo he cambiado por el "router"
filter f_router { host("router"); };
Me acabo de acordar que yo tengo "router" definido en mi dns interno.
Y ahí solo he variado el nombre del fichero por "router.log"
destination router { file("/var/log/router"); }; log { source(ext); filter(f_router); destination(router); };
Y SI, funciona limpiamente.
Infinitas gracias. :-)
Me alegro. Me tuve que pelear un rato con el syslog para conseguirlo ;-) - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHm8r0tTMYHG2NR9URApitAJsGBZZQNwD4XIlTrS4NLcxwThOUsACdEb1v 8hG3IzxULJmVV0D1CUs2yM8= =EElf -----END PGP SIGNATURE-----
Al final te he copiado la configuración. He suprimido el UDP del source scr y he creado el source ext
Es que eso me dio guerra a mí también, y como el chisme ese no saca un log verboso de sus propios problemas, pues es muy dificil de diagnosticar.
Yo me había limitado a descomentar la linea del UDP en el source src. Cuando, siguiendo tu consejo cree el source ext, se me olvidó volverla a comentar otra vez. O:-)
He quitado el 192.168.1.1 del filtro y lo he cambiado por el "router"
filter f_router { host("router"); };
Me acabo de acordar que yo tengo "router" definido en mi dns interno.
Si, claro, yo también tenía definido 192.168.1.1 como "router" en los "host." :-)
Me alegro. Me tuve que pelear un rato con el syslog para conseguirlo ;-)
No me extraña, no alcanzo a comprender porque no funciona usando "source src", cuando oficialmente solo hay que descomentar la linea. Lo que también le ha añadido es que haga la rotación del log cada semana y que guarde las copias comprimidas de los anteriores. -- Saludos, J.M.Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-27 a las 10:38 +0100, J.M.Queralt escribió:
Me alegro. Me tuve que pelear un rato con el syslog para conseguirlo ;-)
No me extraña, no alcanzo a comprender porque no funciona usando "source src", cuando oficialmente solo hay que descomentar la linea.
Ni idea porqué no funciona. Pero con una fuente externa es más fácil, si tuvieras que registrar una sala de PCs facilita el tener aparte la sala del syslog local.
Lo que también le ha añadido es que haga la rotación del log cada semana y que guarde las copias comprimidas de los anteriores.
Yo lo tengo por tamaño, así si tengo que buscar son menos ficheros. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHnHmHtTMYHG2NR9URAqD+AJ44FiB2jNzU1uFIaRTdZEm71jQqLgCfWMUD vlnzGyPyhfIxMgTVSOVnkNc= =CtSB -----END PGP SIGNATURE-----
Lo que también le ha añadido es que haga la rotación del log cada semana y que guarde las copias comprimidas de los anteriores.
Yo lo tengo por tamaño, así si tengo que buscar son menos ficheros.
Pues tampoco es mala idea, porqué además es seguro que tendré que buscar. Esta última semana me ha aparecido en el "logwatch" de esa máquina el "código marciano" un par de veces. Y de los rastreos que he hecho no me han gustado nada las conclusiones provisionales que he sacado, aunque, de momento, no he sabido ver ninguna acción extraña. Por eso necesitaba tener copia del LOG del router. Para poder relacionar ambos LOGS. Ahora a esperar que los marcianos, con su código, aterricen de nuevo. Y luego aún hay gente que no cree que los marcianos existan !!!!! :-) -- Saludos, J.M.Queralt
participants (2)
-
Carlos E. R. -
J.M.Queralt