Sbírání vzdálených logů, rsyslog nebo něco jiného

aigor.net · « **kdy:** 09. 04. 2024, 10:13:53 »

Ahoj, léta k plné spokojenosti používám rsyslog na sbírání logů ze síťových prvků (Mikrotik) na serveru.
Nicméně nyní je už vše v režii journalctl a dávat k tomu ještě rsyslog nevím jestli je dobrá idea. Diskuse na tohle téma co sem našel jsou minimálně 2-4 roky zpět a s rozporuplným výsledkem.
Kdyby to šlo, budu vše řešit přes journal, ale pokud se nepletu, ten tohle neumí - nebo sem k tomu nic nenašel...

Reklama

alfi · « **Odpověď #1 kdy:** 09. 04. 2024, 12:15:38 »

Google nenašel? Hádám, že to jde i bez toho TLS. https://www.digitalocean.com/community/tutorials/how-to-centralize-logs-with-journald-on-debian-10, https://www.freedesktop.org/software/systemd/man/latest/systemd-journal-remote.service.html

Václav Ovsik · « **Odpověď #2 kdy:** 09. 04. 2024, 12:40:02 »

Citace: alfi 09. 04. 2024, 12:15:38

Google nenašel? Hádám, že to jde i bez toho TLS. https://www.digitalocean.com/community/tutorials/how-to-centralize-logs-with-journald-on-debian-10, https://www.freedesktop.org/software/systemd/man/latest/systemd-journal-remote.service.html

No tohle je asi na remote journal. Tedy jenom z Linuxového boxu, kde také běží journal. Ale tazatel chce chytat syslog zprávy předpokládám...

aigor.net · « **Odpověď #3 kdy:** 09. 04. 2024, 12:50:54 »

Citace: Václav Ovsik 09. 04. 2024, 12:40:02

No tohle je asi na remote journal. Tedy jenom z Linuxového boxu, kde také běží journal. Ale tazatel chce chytat syslog zprávy předpokládám...

Přesně tak - konkrétně z Mikrotiku (ROS)

Za každou cenu to nechci lámat přes koleno, spíš se jedná o to, jestli si instalací rsyslog nenadělám binec, resp. aby se mě pak nelogovaly některé věci opakovaně (jak sem na pár místech četl)

Václav Ovsik · « **Odpověď #4 kdy:** 09. 04. 2024, 13:03:53 »

Citace: aigor.net 09. 04. 2024, 12:50:54

...
Za každou cenu to nechci lámat přes koleno, spíš se jedná o to, jestli si instalací rsyslog nenadělám binec, resp. aby se mě pak nelogovaly některé věci opakovaně (jak sem na pár místech četl)

No já mám na logovacím serveru v /etc/rsyslog.d/05remote.conf kus zhruba:

$template DynFile,"/var/log/net/%fromhost-ip%/%timegenerated:1:10:date-rfc3339%.log"

*.*             -?DynFile

if $fromhost != "<muj-log-server>" then stop

# send local messages to another remote log server
*.*             @<druhy-log-server>

Reklama

Václav Ovsik · « **Odpověď #5 kdy:** 09. 04. 2024, 13:17:58 »

Ještě doplním, že pokud nechcete logovat lokální zprávy např do /var/log/syslog atd,
tak můžete přidat pravidlo *.* stop, která další zpracování zarazí komplet. Pak budete mít jenom log-soubory od svých zařízení pod /var/log/net/<ipadresa>/<datum>.log a zbytek budete řešit journalem.

aigor.net · « **Odpověď #6 kdy:** 09. 04. 2024, 13:41:30 »

Citace: Václav Ovsik 09. 04. 2024, 13:17:58

...Pak budete mít jenom log-soubory od svých zařízení pod /var/log/net/<ipadresa>/<datum>.log a zbytek budete řešit journalem.

Díky, to by mohla být ta správná cesta.

Sbírání vzdálených logů, rsyslog nebo něco jiného

aigor.net

Sbírání vzdálených logů, rsyslog nebo něco jiného

Reklama

alfi

Re:Sbírání vzdálených logů, rsyslog nebo něco jiného

Václav Ovsik

Re:Sbírání vzdálených logů, rsyslog nebo něco jiného

aigor.net

Re:Sbírání vzdálených logů, rsyslog nebo něco jiného

Václav Ovsik

Re:Sbírání vzdálených logů, rsyslog nebo něco jiného

Reklama

Václav Ovsik

Re:Sbírání vzdálených logů, rsyslog nebo něco jiného

aigor.net

Re:Sbírání vzdálených logů, rsyslog nebo něco jiného