Syslog-ng přeposílání logu na logserver

Khyzzin

Syslog-ng přeposílání logu na logserver
« kdy: 28. 05. 2015, 09:19:28 »
Ahojte, situacia:

zdrojovy server s roznymi sluzbami ktore maju logy vo svojich adresaroch, bezi tam syslog-ng
cielovy logserver kde bezi rsyslog, nakonfigurovany na prijimanie logov

Potrebujem nakonfigurovat syslog-ng aby odchytaval logy v inych adresaroch ako standardny /var/log a preposielal to na logserver.

V syslog-ng.conf zdrojoveho servera mam:

source s_file {
file("/cesta/k/suboru.log" flags(no-parse));
};

a destination logserver nakonfigurovany myslim spravne. Vsetky "standardne" logy z /var/log sa na cielovom logserveri zobrazia spravne, ale "externy" log je tam utrzkovito, zaznamy rozhadzane po roznych suboroch s nicnehovoriacimi nazvami. Kde je tam chyba, co treba doplnit? Vdaka
« Poslední změna: 28. 05. 2015, 11:15:51 od Petr Krčmář »


Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:Syslog-ng preposielanie externeho logu na logserver
« Odpověď #1 kdy: 28. 05. 2015, 09:22:17 »
Neřeš to a nahoď symlinky z těch jiných míst do /var/log :-)

j

Re:Syslog-ng preposielanie externeho logu na logserver
« Odpověď #2 kdy: 28. 05. 2015, 09:27:47 »
A nebylo by jednodussi zaridit, aby ty sluzby logovaly pres demona misto do vlastnich souboru?

Jinak i trebas tuhle http://www.syslog.org/logged/reading-logs-from-a-file-in-syslog-ng/ je napsany, ze pokud zdroj neobsahuje nejakou identifikaci, tak ze vysledkem je bordel.

Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:Syslog-ng preposielanie externeho logu na logserver
« Odpověď #3 kdy: 28. 05. 2015, 09:46:14 »
Nejjednodušší by bylo zařídit, aby vše dokonale fungovalo, včetně uživatelů a všechno bylo krásný, dokonalý a sluníčkový. Ale drogy zdarma už dnes nedostaneš ani před základní školou, takže zkus změnit svůj zápis na

source s_file {
file("/cesta/k/suboru.log" program_override("Toto je blba aplikace, ktera neumi poradne logovat") flags(no-parse));
};

a mělo by to být lepší.

Khyzzin

Re:Syslog-ng preposielanie externeho logu na logserver
« Odpověď #4 kdy: 28. 05. 2015, 10:06:17 »
Parada diky obom, vyzera to ze by to mohlo pomoct. Jedna sa o sluzby ktore je obtiazne nastavit aby logovali cez standardny daemon (napr. informacny system robeny na mieru).

Skoda len ze SUSE Enterprise server 11 ma v repozitaroch iba obstarozny syslog-ng verzie 2.0.9, ktory program_override este zrejme nepodporuje ::) Skusim tam rucne nahodit novsiu verziu a pouzit ten parameter.


Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:Syslog-ng preposielanie externeho logu na logserver
« Odpověď #5 kdy: 28. 05. 2015, 10:13:19 »
Joooooo tak to je tragédie celkem... no nová verze by asi mohla pomoct, případně jestli je systém na míru, pěkně bych poprosil o novou featuru a když řeknou že ne, tak to zadej jako reklamaci, protože programátoři jsou prasata a jejich práce stojí za starou bačkoru :D

Khyzzin

Re:Syslog-ng preposielanie externeho logu na logserver
« Odpověď #6 kdy: 28. 05. 2015, 10:39:34 »
Tych systemov mame viac a su kadejake, touto cestou sa velmi neda ist  :) Treba vyriesit to "preposielanie" z lubovolneho miesta v suborovej strukture.

Inak je to bieda, teraz ked chcem instalovat novy syslog-ng rucne tak treba uz aj nove kniznice atd atd no hruza.  :( Su ine moznosti? (napr. rsync pravidelne kopirovanie logov v nejakom scripte..) Pripadne ak to ma niekto rozbehnute na rsyslog (v3.18.3) nech da inspiraciu...

j

Re:Syslog-ng preposielanie externeho logu na logserver
« Odpověď #7 kdy: 28. 05. 2015, 10:47:39 »
Mno ... do instalaci novsich softu bych se vzhledem k tomu co pises moc nepoustel, protoze pak ti neco prestane fungovat a dodavatel to zcela 100% hodi na tebe.

Takze asi bych to zkusil vyresti podrbanim se nohou za krkem - napsat si nejaky script, kterej capne ty logy a natlaci je logovacimu demonovi.

Tohle by ti jako navod mohlo stacit http://www.linuxquestions.org/questions/programming-9/bash-use-syslog-to-write-log-to-new-log-file-4175423631/

Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:Syslog-ng preposielanie externeho logu na logserver
« Odpověď #8 kdy: 28. 05. 2015, 11:01:06 »
Tak řešení je několik:
-buď to rsyncuj
-nebo si na místa kam se loguje mountni přes nfs nebo něco jinýho složky z toho vzdálenýho serveru (to samozřejmě předpokládá, že jsou logy oddělený od dalších dat) a budeš muset řešit, jestli je složka opravdu mountnutá, případně co dělat, jestli není
-nebo zkusím ten rsyslog, protože se nudím
-nebo to tam prostě pošleme ručně z cronu, on asi protokol na posílání logu nebude nic komplikovanýho :D