The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"rsyslog.cong local0 facility как"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Мониторинг, логи / Linux)
Изначальное сообщение [ Отслеживать ]

"rsyslog.cong local0 facility как"  +/
Сообщение от mitay (ok) on 12-Авг-13, 07:40 
Хочу логи от программы snoopy складывать в отдельный файл, нигде не могу найти как пользоваться пользовательской категрией local0-local7, подскажите пожалуйста как решить мою задачу.

snoopy
local3.* /var/log/snoopy.log
или
!snoopy
local3.* /var/log/snoopy.log
в чем разница?

или лучше в rsyslog.d отдельный файл написать для snoopy?
каков там синтаксис, где прочитать, в man нету про local0-local7
ОС deabian

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "rsyslog.cong local0 facility как"  +/
Сообщение от Pahanivo (ok) on 12-Авг-13, 09:41 
man syslog[d]
man syslog[d].conf
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "rsyslog.cong local0 facility как"  +/
Сообщение от mitay (ok) on 12-Авг-13, 13:13 
> man syslog[d]
> man syslog[d].conf

перекомпилировал snoopy с флагом --with-syslog-facility=LOG_LOCAL3

в syslog.conf:
local3.* -/var/log/snoopy.log

однако туда ничего не падает

а так же, везде после *.* добавил local3.none, однако лог snoopy туда продолжает падать
rsyslogd перезапускал.

И до кучи:
пытаюсь логи iptables отделить
:msg, startswith, "New not syn: " -/var/log/iptables/newnotsyn.log
& ~
:msg, startswith, "Stealth scan: " -/var/log/iptables/scan.log
& ~
:msg, startswith, "ICMP Fragment: " -/var/log/iptables/icmp.log
& ~
файлы создались, но логи в них не падают, хотя в syslog падают.

что я делаю не так, куда копать?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "rsyslog.cong local0 facility как"  +/
Сообщение от reader (ok) on 12-Авг-13, 14:18 
>[оверквотинг удален]
> в syslog.conf:
> local3.* -/var/log/snoopy.log
> однако туда ничего не падает
> а так же, везде после *.* добавил local3.none, однако лог snoopy туда
> продолжает падать
> rsyslogd перезапускал.
> И до кучи:
> пытаюсь логи iptables отделить
> :msg, startswith, "New not syn: " -/var/log/iptables/newnotsyn.log
> & ~

:msg, contains, "New not syn:" /var/log/iptables/newnotsyn.log
& ~

> :msg, startswith, "Stealth scan: " -/var/log/iptables/scan.log
> & ~
> :msg, startswith, "ICMP Fragment: " -/var/log/iptables/icmp.log
> & ~
> файлы создались, но логи в них не падают, хотя в syslog падают.
> что я делаю не так, куда копать?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "rsyslog.cong local0 facility как"  +/
Сообщение от Pahanivo (ok) on 12-Авг-13, 15:22 
"а можно всех посмотреть?" (С)
в смысле syslog.conf
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "rsyslog.cong local0 facility как"  +/
Сообщение от Дядя_Федор on 12-Авг-13, 15:52 
Можно так попробовать, если локал3 не срабатывает.
if      ($programname == 'snoopy')  \
then    -/var/log/snooopy.log
& ~
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "rsyslog.cong local0 facility как"  +/
Сообщение от mitay (ok) on 13-Авг-13, 07:51 
> Можно так попробовать, если локал3 не срабатывает.
> if      ($programname == 'snoopy')  \
> then    -/var/log/snooopy.log
> & ~

да, так работает, спасибо.
local3 не срабатывает, и остается дефолтный facility - authpriv(т.к. сыпется в auth.log)
т.е. перекомпиляция не проходит, возможно баг.

конфа девственная из репозтория дебиан, за исключением строк выше

спасибо всем за помощь.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "rsyslog.cong local0 facility как"  +/
Сообщение от Дядя_Федор on 13-Авг-13, 08:29 
> local3 не срабатывает, и остается дефолтный facility - authpriv(т.к. сыпется в auth.log)
> т.е. перекомпиляция не проходит, возможно баг.
> конфа девственная из репозтория дебиан, за исключением строк выше
> спасибо всем за помощь.

В некотором софте есть возможность запускать его с указанием в конфиге log facility, задав его в конфиге. Например, в dhcp. Лично я таким образом формирую разные лог-файлы на сервере dhcp для юзверей, которые получают IP по динамике с использованием option 82. У меня 3 dhcp-сервера запущены для разных подсетей - поэтому удобно их раскидывать по разным лог-файлам. В snoopy, случайно такой возможности не предусмотрено в конфиге? Помимо задания local при компиляции.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "rsyslog.cong local0 facility как"  +/
Сообщение от mitay (ok) on 13-Авг-13, 11:09 
нет не предусмотрено, это только лишь библиотека, ни конфига ни запуска, только ./configure --help. https://github.com/a2o/snoopy
А имеет значение указывать ли local3(если первые три local не используются) или указать local0 при компиляции?


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру