[opensuse-es] Log remoto con syslog-ng
Buenas, espero que alguno me podais echar una mano, llevo ya tiempo peleandome con el syslog-ng para conseguir logar de forma remota los sucesos en un switch en un servidor de logs. La consfiguracion en el switch (yyy.yyy.yyy.yyy) es sencilla: Remote Log Server-> Log Server xxx.xxx.xxx.xxx UDP Port 512 Facility Local 7 Severity Emergency, Alert, Critical, Error, Warning... en fin, todos activados. La configuracion en el servidor (xxx.xxx.xxx.xxx) ... he añadido las siguientes lineas en /etc/syslog-ng/syslog-ng.conf : source switch { udp(ip("yyy.yyy.yyy.yyy:514")); }; # # Pongo udp(ip("yyy.yyy.yyy.yyy:514")); # ya que cuando pongo: # udp(ip("yyy.yyy.yyy.yyy") port(514)); # falla el servicio. Puedo tener el fallo aquí?? # Pero no consigo ponerlo de la otra forma. # filter f_local7 { facility(local7; }; destination remotemessages { file("/var/log/remotemessages"); }; log { source(switch); filter(local7); destination(remotemessages); }; Y finalmente rcsyslog restart He estado haciendo pruebas, pero esta me parece la configuracion más logica, se os ocurre porque puede no funcionar. Uso openSuSE 10.3 y no tengo firewall corriendo. Muchas gracias, saludos, Enrique. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Enrique wrote:
Buenas, espero que alguno me podais echar una mano, llevo ya tiempo peleandome con el syslog-ng para conseguir logar de forma remota los sucesos en un switch en un servidor de logs.
destination remotemessages { file("/var/log/remotemessages"); }; log { source(switch); filter(local7); destination(remotemessages); };
Y finalmente rcsyslog restart
He estado haciendo pruebas, pero esta me parece la configuracion más logica, se os ocurre porque puede no funcionar.
Uso openSuSE 10.3 y no tengo firewall corriendo.
Muchas gracias,
saludos,
Enrique.
En "destination remotemessages { file("/var/log/remotemessages"); };" le pones "destination remotemessages { udp(ip, puerto); }:" Sin las comillas, por favor.. el "man", creo recordar que es syslog-ng.conf Saludos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
"destination remotemessages { file("/var/log/remotemessages"); };" le pones "destination remotemessages { udp(ip, puerto); }:"
Sin las comillas, por favor.. el "man", creo recordar que es syslog-ng.conf
Pero... supongo que eso seria si quiero mandar los log a otro ordenador, no es esa la idea, lo que quiero es recoger los log de un switch en el ordenador con esta configuracion. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Enrique wrote:
"destination remotemessages { file("/var/log/remotemessages"); };" le pones "destination remotemessages { udp(ip, puerto); }:"
Sin las comillas, por favor.. el "man", creo recordar que es syslog-ng.conf
Pero...
supongo que eso seria si quiero mandar los log a otro ordenador, no es esa la idea, lo que quiero es recoger los log de un switch en el ordenador con esta configuracion. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Tienes razón, te leí u poquito mal.... --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2008/4/15, Enrique:
UDP Port 512
source switch { udp(ip("yyy.yyy.yyy.yyy:514")); };
# Pongo udp(ip("yyy.yyy.yyy.yyy:514")); # ya que cuando pongo: # udp(ip("yyy.yyy.yyy.yyy") port(514)); # falla el servicio. Puedo tener el fallo aquí?? # Pero no consigo ponerlo de la otra forma.
Hum... ¿no debería escuchar en el puerto 512 que es donde envía el switch? :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2008/4/15, Enrique:
UDP Port 512
source switch { udp(ip("yyy.yyy.yyy.yyy:514")); };
# Pongo udp(ip("yyy.yyy.yyy.yyy:514")); # ya que cuando pongo: # udp(ip("yyy.yyy.yyy.yyy") port(514)); # falla el servicio. Puedo tener el fallo aquí?? # Pero no consigo ponerlo de la otra forma.
Hum... ¿no debería escuchar en el puerto 512 que es donde envía el switch? :-?
Si, intento ponerlo con la notacion yyy.yyy.yyy.yyy:514 ya que al poner en su lugar la linea: udp(ip("xxx.xxx.xxx.xxx") port(514)); si hago un rcsyslog restart me dice: Shutting down syslog services done Re-Starting syslog servicesio.c: bind_inet_socket() bind failed xxx.xxx.xxx.xxx:514 Cannot assign requested address Error initializing configuration, exiting. ..startproc: exit status of parent of /sbin/syslog-ng: 1 failed --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Enrique wrote:
Si, intento ponerlo con la notacion yyy.yyy.yyy.yyy:514 ya que al poner en su lugar la linea:
udp(ip("xxx.xxx.xxx.xxx") port(514));
si hago un rcsyslog restart me dice:
Shutting down syslog services done Re-Starting syslog servicesio.c: bind_inet_socket() bind failed xxx.xxx.xxx.xxx:514 Cannot assign requested address Error initializing configuration, exiting. ..startproc: exit status of parent of /sbin/syslog-ng: 1 failed --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Enrique, has intentado no filtrar el origen, digo, poninendo 0.0.0.0 en lugar de xxx.xxx.xxx.xxx ? --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2008/4/15, Enrique:
Si, intento ponerlo con la notacion yyy.yyy.yyy.yyy:514 ya que al poner en su lugar la linea:
Ups, quería decir que ambos debían estar en el mismo puerto 514, el switch aparece configurado en el 512.
udp(ip("xxx.xxx.xxx.xxx") port(514));
si hago un rcsyslog restart me dice:
Shutting down syslog services done Re-Starting syslog servicesio.c: bind_inet_socket() bind failed xxx.xxx.xxx.xxx:514 Cannot assign requested address Error initializing configuration, exiting. ..startproc: exit status of parent of /sbin/syslog-ng: 1 failed
Supongo que no puede configurar un evento para escucharse a sí mismo... no, no debe ser así :-/. Ese swicth ¿viene con alguna utilidad windowsera para registrar los eventos o algún manual de configuración con ejemplos para el envío de mensajes al syslog? Quizá necesites alguna aplicación en concreto... no sé :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Camaleón wrote:
2008/4/15, Enrique:
Si, intento ponerlo con la notacion yyy.yyy.yyy.yyy:514 ya que al poner en su lugar la linea:
Ups, quería decir que ambos debían estar en el mismo puerto 514, el switch aparece configurado en el 512.
udp(ip("xxx.xxx.xxx.xxx") port(514));
si hago un rcsyslog restart me dice:
Shutting down syslog services done Re-Starting syslog servicesio.c: bind_inet_socket() bind failed xxx.xxx.xxx.xxx:514 Cannot assign requested address Error initializing configuration, exiting. ..startproc: exit status of parent of /sbin/syslog-ng: 1 failed
Supongo que no puede configurar un evento para escucharse a sí mismo... no, no debe ser así :-/.
Ese swicth ¿viene con alguna utilidad windowsera para registrar los eventos o algún manual de configuración con ejemplos para el envío de mensajes al syslog? Quizá necesites alguna aplicación en concreto... no sé :-?
Saludos,
Na, es que esa parte, es la de la configuración global del syslog server, es decir, en "udp(ip("xxx.xxx.xxx.xxx") port(514));" va la ip del servidor, l'a ip de alguna de sus interfaces, ó 0.0.0.0., sino, no podría procesar source(src) en los filtros de logs, se entiende? no funcionaría nada de nada! --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 15/04/08, Ricardo escribió:
Na, es que esa parte, es la de la configuración global del syslog server, es decir, en "udp(ip("xxx.xxx.xxx.xxx") port(514));" va la ip del servidor, l'a ip de alguna de sus interfaces, ó 0.0.0.0., sino, no podría procesar source(src) en los filtros de logs, se entiende? no funcionaría nada de nada!
Okis. Es que ese error que te daba de asociación era raro :-? Dale un "chance" al hack de Carlos, funciona muy bien... lo acabo de probar con un router adsl :-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Camaleón wrote:
El 15/04/08, Ricardo escribió:
Na, es que esa parte, es la de la configuración global del syslog server, es decir, en "udp(ip("xxx.xxx.xxx.xxx") port(514));" va la ip del servidor, l'a ip de alguna de sus interfaces, ó 0.0.0.0., sino, no podría procesar source(src) en los filtros de logs, se entiende? no funcionaría nada de nada!
Okis. Es que ese error que te daba de asociación era raro :-?
Dale un "chance" al hack de Carlos, funciona muy bien... lo acabo de probar con un router adsl :-)
Saludos,
si, está perfecto, pero no me has entendido. el error hace referencia al "bind", de la ip del servidor y le pateaba xq no es una ip válida. tienes que asociar "source" de la config global (la primera parte del .conf) con la referencia source(src) de cada uno de los filtros es para que el kernel sepa qué hacer. mmm creo que me enrrollé en mí al tratar de explicarlo.... jejeje --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-04-15 a las 13:05 -0300, Ricardo escribió:
si, está perfecto, pero no me has entendido. el error hace referencia al "bind", de la ip del servidor y le pateaba xq no es una ip válida. tienes que asociar "source" de la config global (la primera parte del .conf) con la referencia source(src) de cada uno de los filtros es para que el kernel sepa qué hacer.
mmm creo que me enrrollé en mí al tratar de explicarlo.... jejeje
Pues sí, porque no me entero. ¿El kernel? El kernel no pinta nada en este invento. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIBOuttTMYHG2NR9URAgePAKCMom2kMFwJWCMkEmarylvyuraJJACbBi0H Ue9B6AycRd/fkKpJr3fdFT0= =+1Vu -----END PGP SIGNATURE-----
Carlos E. R. wrote:
El 2008-04-15 a las 13:05 -0300, Ricardo escribió:
si, está perfecto, pero no me has entendido. el error hace referencia al "bind", de la ip del servidor y le pateaba xq no es una ip válida. tienes que asociar "source" de la config global (la primera parte del .conf) con la referencia source(src) de cada uno de los filtros es para que el kernel sepa qué hacer.
mmm creo que me enrrollé en mí al tratar de explicarlo.... jejeje
Pues sí, porque no me entero.
¿El kernel? El kernel no pinta nada en este invento.
-- Saludos Carlos E.R.
Ok. Carlos, las aplicaciones del sistema "hablan" con el kernel, ya lo hablamos con el tema del firewall. Sino, cómo crees que un script hace lo que hace? --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-04-15 a las 14:54 -0300, Ricardo escribió:
Carlos, las aplicaciones del sistema "hablan" con el kernel, ya lo hablamos con el tema del firewall. Sino, cómo crees que un script hace lo que hace?
Buf, eso es pillarlo por los pelos. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIBPV/tTMYHG2NR9URAlg8AKCG3+uS2OhRoqewqBQuwyb6f6aDcgCglQbS 7ethouewoptMVVC23GFuaU8= =jFZ0 -----END PGP SIGNATURE-----
Carlos E. R. wrote:
El 2008-04-15 a las 14:54 -0300, Ricardo escribió:
Carlos, las aplicaciones del sistema "hablan" con el kernel, ya lo hablamos con el tema del firewall. Sino, cómo crees que un script hace lo que hace?
Buf, eso es pillarlo por los pelos.
-- Saludos Carlos E.R.
Si , si, tienes tooda la razón, casi como si fueses el Sol. Es el kernel quien lo hace Carlos, és él.. pero allá tú. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
El 2008-04-15 a las 14:54 -0300, Ricardo escribió:
Carlos, las aplicaciones del sistema "hablan" con el kernel, ya lo hablamos con el tema del firewall. Sino, cómo crees que un script hace lo que hace?
Buf, eso es pillarlo por los pelos.
Si , si, tienes tooda la razón, casi como si fueses el Sol. Es el kernel quien lo hace Carlos, és él.. pero allá tú.
Vale, pa'tí la perra gorda. Yo debo ser un ignorante que no sabe nada de linux. Resuelvete tu mismo el problema, conmigo no cuentes. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIBP0ZtTMYHG2NR9URAtvGAJ0T0zUrZ56UhOiDOUGJaPH0dT/pbwCfU5uf H09xH3ZuVJUB8XZN3MEiOMY= =lNr0 -----END PGP SIGNATURE-----
Content-ID:
Vale, pa'tí la perra gorda. Yo debo ser un ignorante que no sabe nada de linux. Resuelvete tu mismo el problema, conmigo no cuentes.
-- Saludos Carlos E.R. Te lo acepto Carlos, (lo de la perra gorda) lo que no te acepto es que te subestimes. Mi problema es exactamente ninguno. Bueno, es cierto, tengo algunas cuentas que pagar, pero no viene al caso. Ahora bien, dime, cuál es el tuyo, ya que no interpreto qué es lo que quieres decir, te manejas a puro eufemismo, y eso a mí no me cuadra. Puedes, por favor ser más concreto? Es decir, sé que sabes que las aplicaciones y los servicios, si no estuviese kernel, no funcionarían,
Carlos E. R. wrote: pero hasta ahora, siento de tí el contradecir por el gusto, o la mala gana de contradecir solamente. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-04-15 a las 15:13 +0200, Enrique escribió:
Buenas, espero que alguno me podais echar una mano, llevo ya tiempo peleandome con el syslog-ng para conseguir logar de forma remota los sucesos en un switch en un servidor de logs.
La consfiguracion en el switch (yyy.yyy.yyy.yyy) es sencilla:
Remote Log Server-> Log Server xxx.xxx.xxx.xxx UDP Port 512 Facility Local 7 Severity Emergency, Alert, Critical, Error, Warning... en fin, todos activados.
La configuracion en el servidor (xxx.xxx.xxx.xxx) ... he añadido las siguientes lineas en /etc/syslog-ng/syslog-ng.conf :
source switch { udp(ip("yyy.yyy.yyy.yyy:514")); };
Te cuento como tengo yo mi router, que sé que funciona: source ext { udp(ip("0.0.0.0") port(514)); }; Ya hay una diferencia. Y más abajo: filter f_router { host("router"); }; destination router { file("/var/log/router"); }; log { source(ext); filter(f_router); destination(router); }; Y ya está. Lo de host("router") funciona porque lo tengo en el dns.
# Pongo udp(ip("yyy.yyy.yyy.yyy:514")); # ya que cuando pongo: # udp(ip("yyy.yyy.yyy.yyy") port(514)); # falla el servicio. Puedo tener el fallo aquí?? # Pero no consigo ponerlo de la otra forma.
Con lo de los dos puntos no creo que vaya.
filter f_local7 { facility(local7; };
No pongas eso de momento. No sabes cómo llega.
destination remotemessages { file("/var/log/remotemessages"); }; log { source(switch); filter(local7); destination(remotemessages); };
Creo que no te va por el filtro excesivo, y por lo del source. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIBMSZtTMYHG2NR9URAmykAJ0XAgt4XH0dqh086icyTrICyXnS2wCgl735 MBcJyn8qRu0+SERGpmQmEwY= =9XzX -----END PGP SIGNATURE-----
participants (4)
-
Camaleón
-
Carlos E. R.
-
Enrique
-
Ricardo