On Fri, 13 Mar 2015 13:16, Werner Franke wrote:
Hallo zusammen,
kann mir jemand, der sich mit rsyslog auskennt einen Hinweis in die richtige Richtung geben.
Wir wollen mit syslog/rsyslog Meldungen von verschiedenen Prozessen auf mehreren Hosts an einem Zentralen Host via TCP sammeln und das dann an einen weiteren Host via TCP übermitteln. Das Bild unten soll das veranschaulichen. Ich denke über (r)syslog Server geht das. https://erinnerungsfragmente.de/posts/2014/07/rsyslog-server-ubuntu-1204
VMware Umgebung: --- --- --- --- --- --- |H1 | |H2 | |H3| |H4| |H5| |H6| ... viele virt. Hosts --- --- --- --- --- --- \ | / \ | / \ | / \ | / ------------- ------------- |syslog serv| |syslog serv| | Host 1 | | Host 2 | ... mehrere (r)Syslog Server ------------- ------------- \ | ------------------------------------------------------------------- andere Umgebung \ | ----------------------------- | \ | | ein zentraler | File1 File2 ... FileN | (r)Syslog Server -----------------------------
Allerdings sollen die Syslog Meldungen von den Syslog Server in der VMware Umgebung, die beim zentralen Syslog Server eintreffen, in verschiedene LOG Files geschrieben werden. Für jeden VMware Syslog Server ein eigenes Log File. Was mir nicht klar ist und ich habe da auch noch nichts im Internet gefunden:
- Geht das ? - Wie muss ich das Konfigurieren ? - An was erkennt der unterste Syslog Server welche der Syslog Meldungen in welches Log File müssen ? Über Filter ? :msg,contains,"[UFW " /var/log/ufw.log Oder gibt es da noch andere Möglichkeiten wie Hostnamen ?
Danke für einen Tipp. Für ein Config-Beispiel wäre ich auch sehr Dankbar.
Allgemein: man 8 rsyslogd (parameter -N{1..x} for checking configs) man 5 rsyslog.conf http://www.rsyslog.com/doc Anleitungen: http://www.rsyslog.com/doc/master/tutorials/index.html http://www.rsyslog.com/doc/master/configuration/filters.html http://www.rsyslog.com/doc/master/configuration/expression.html http://www.rsyslog.com/doc/master/configuration/examples.html Hostnamen unter anderem: anstatt %HOSTNAME% besser: %FROMHOST%, oder %FROMHOST-IP%, http://www.rsyslog.com/doc/master/troubleshooting/troubleshoot.html Weise Worte: 1. In den "/etc/hosts" Dateien der VMs sollte dringlich der entsprechende (übergeordnete) remote syslog-server drin stehen. 2. In den "/etc/hosts" Dateien der syslog-server sollte dringlich der nächst-übergeordnete remote syslog-server drin stehen. 3. Benutz deiene eigenen DNS / DHCP server (zentral) für die VMs, und die syslog-server, am besten auch ntp aufsetzen. 4. Testen, testen, testen. Sehr nützlich: rsyslogd -N3 -f <pfad-und-name-der-config> logger (siehe: man 1 logger) 5. %HOSTNAME% funzt nur für den jeweiligen 'erzeuger' rechner der syslog meldungen. Auf den übergeordneten/'empfänger' rechnern ist dann mit %FROMHOST%, oder %FROMHOST-IP% zu arbeiten. All das ist nur ein Start-Punkt. - Yamaban.