Sbírání vzdálených logů, rsyslog nebo něco jiného

Ahoj, léta k plné spokojenosti používám rsyslog na sbírání logů ze síťových prvků (Mikrotik) na serveru.
Nicméně nyní je už vše v režii journalctl a dávat k tomu ještě rsyslog nevím jestli je dobrá idea. Diskuse na tohle téma co sem našel jsou minimálně 2-4 roky zpět a s rozporuplným výsledkem.
Kdyby to šlo, budu vše řešit přes journal, ale pokud se nepletu, ten tohle neumí - nebo sem k tomu nic nenašel... :(
PMD85 -> Didaktik Gama -> PC XT -> ... x86/x51/ARM
Basic -> Turbo Pascal -> C++ -> Turbo ASM -> C# -> PHP -> Bash -> Go :-)



Re:Sbírání vzdálených logů, rsyslog nebo něco jiného
« Odpověď #2 kdy: 09. 04. 2024, 12:40:02 »
Google nenašel? Hádám, že to jde i bez toho TLS. https://www.digitalocean.com/community/tutorials/how-to-centralize-logs-with-journald-on-debian-10, https://www.freedesktop.org/software/systemd/man/latest/systemd-journal-remote.service.html
No tohle je asi na remote journal. Tedy jenom z Linuxového boxu, kde také běží journal. Ale tazatel chce chytat syslog zprávy předpokládám...

Re:Sbírání vzdálených logů, rsyslog nebo něco jiného
« Odpověď #3 kdy: 09. 04. 2024, 12:50:54 »
No tohle je asi na remote journal. Tedy jenom z Linuxového boxu, kde také běží journal. Ale tazatel chce chytat syslog zprávy předpokládám...

Přesně tak - konkrétně z Mikrotiku (ROS)

Za každou cenu to nechci lámat přes koleno, spíš se jedná o to, jestli si instalací rsyslog nenadělám binec, resp. aby se mě pak nelogovaly některé věci opakovaně (jak sem na pár místech četl)
PMD85 -> Didaktik Gama -> PC XT -> ... x86/x51/ARM
Basic -> Turbo Pascal -> C++ -> Turbo ASM -> C# -> PHP -> Bash -> Go :-)

Re:Sbírání vzdálených logů, rsyslog nebo něco jiného
« Odpověď #4 kdy: 09. 04. 2024, 13:03:53 »
...
Za každou cenu to nechci lámat přes koleno, spíš se jedná o to, jestli si instalací rsyslog nenadělám binec, resp. aby se mě pak nelogovaly některé věci opakovaně (jak sem na pár místech četl)
No já mám na logovacím serveru v /etc/rsyslog.d/05remote.conf kus zhruba:

$template DynFile,"/var/log/net/%fromhost-ip%/%timegenerated:1:10:date-rfc3339%.log"

*.*             -?DynFile

if $fromhost != "<muj-log-server>" then stop

# send local messages to another remote log server
*.*             @<druhy-log-server>


Re:Sbírání vzdálených logů, rsyslog nebo něco jiného
« Odpověď #5 kdy: 09. 04. 2024, 13:17:58 »
Ještě doplním, že pokud nechcete logovat lokální zprávy např do /var/log/syslog atd,
tak můžete přidat pravidlo *.* stop, která další zpracování zarazí komplet. Pak budete mít jenom log-soubory od svých zařízení pod /var/log/net/<ipadresa>/<datum>.log a zbytek budete řešit journalem.

Re:Sbírání vzdálených logů, rsyslog nebo něco jiného
« Odpověď #6 kdy: 09. 04. 2024, 13:41:30 »
...Pak budete mít jenom log-soubory od svých zařízení pod /var/log/net/<ipadresa>/<datum>.log a zbytek budete řešit journalem.

Díky, to by mohla být ta správná cesta.
PMD85 -> Didaktik Gama -> PC XT -> ... x86/x51/ARM
Basic -> Turbo Pascal -> C++ -> Turbo ASM -> C# -> PHP -> Bash -> Go :-)