Fórum Root.cz

Hlavní témata => Server => Téma založeno: aigor.net 09. 04. 2024, 10:13:53

Název: Sbírání vzdálených logů, rsyslog nebo něco jiného
Přispěvatel: aigor.net 09. 04. 2024, 10:13:53

Ahoj, léta k plné spokojenosti používám rsyslog na sbírání logů ze síťových prvků (Mikrotik) na serveru.
Nicméně nyní je už vše v režii journalctl a dávat k tomu ještě rsyslog nevím jestli je dobrá idea. Diskuse na tohle téma co sem našel jsou minimálně 2-4 roky zpět a s rozporuplným výsledkem.
Kdyby to šlo, budu vše řešit přes journal, ale pokud se nepletu, ten tohle neumí - nebo sem k tomu nic nenašel... :(

Název: Re:Sbírání vzdálených logů, rsyslog nebo něco jiného
Přispěvatel: alfi 09. 04. 2024, 12:15:38

Google nenašel? Hádám, že to jde i bez toho TLS. https://www.digitalocean.com/community/tutorials/how-to-centralize-logs-with-journald-on-debian-10, https://www.freedesktop.org/software/systemd/man/latest/systemd-journal-remote.service.html

Název: Re:Sbírání vzdálených logů, rsyslog nebo něco jiného
Přispěvatel: Václav Ovsik 09. 04. 2024, 12:40:02

Citace: alfi  09. 04. 2024, 12:15:38

Google nenašel? Hádám, že to jde i bez toho TLS. https://www.digitalocean.com/community/tutorials/how-to-centralize-logs-with-journald-on-debian-10, https://www.freedesktop.org/software/systemd/man/latest/systemd-journal-remote.service.html

No tohle je asi na remote journal. Tedy jenom z Linuxového boxu, kde také běží journal. Ale tazatel chce chytat syslog zprávy předpokládám...

Název: Re:Sbírání vzdálených logů, rsyslog nebo něco jiného
Přispěvatel: aigor.net 09. 04. 2024, 12:50:54

Citace: Václav Ovsik  09. 04. 2024, 12:40:02

No tohle je asi na remote journal. Tedy jenom z Linuxového boxu, kde také běží journal. Ale tazatel chce chytat syslog zprávy předpokládám...

Přesně tak - konkrétně z Mikrotiku (ROS)

Za každou cenu to nechci lámat přes koleno, spíš se jedná o to, jestli si instalací rsyslog nenadělám binec, resp. aby se mě pak nelogovaly některé věci opakovaně (jak sem na pár místech četl)

Název: Re:Sbírání vzdálených logů, rsyslog nebo něco jiného
Přispěvatel: Václav Ovsik 09. 04. 2024, 13:03:53

Citace: aigor.net  09. 04. 2024, 12:50:54

...
Za každou cenu to nechci lámat přes koleno, spíš se jedná o to, jestli si instalací rsyslog nenadělám binec, resp. aby se mě pak nelogovaly některé věci opakovaně (jak sem na pár místech četl)

No já mám na logovacím serveru v /etc/rsyslog.d/05remote.conf kus zhruba:

$template DynFile,"/var/log/net/%fromhost-ip%/%timegenerated:1:10:date-rfc3339%.log"

*.*             -?DynFile

if $fromhost != "<muj-log-server>" then stop

# send local messages to another remote log server
*.*             @<druhy-log-server>

Název: Re:Sbírání vzdálených logů, rsyslog nebo něco jiného
Přispěvatel: Václav Ovsik 09. 04. 2024, 13:17:58

Ještě doplním, že pokud nechcete logovat lokální zprávy např do /var/log/syslog atd,
tak můžete přidat pravidlo *.* stop, která další zpracování zarazí komplet. Pak budete mít jenom log-soubory od svých zařízení pod /var/log/net/<ipadresa>/<datum>.log a zbytek budete řešit journalem.

Název: Re:Sbírání vzdálených logů, rsyslog nebo něco jiného
Přispěvatel: aigor.net 09. 04. 2024, 13:41:30

Citace: Václav Ovsik  09. 04. 2024, 13:17:58

...Pak budete mít jenom log-soubory od svých zařízení pod /var/log/net/<ipadresa>/<datum>.log a zbytek budete řešit journalem.

Díky, to by mohla být ta správná cesta.