1. дома
  2. Вопрос и ответ
  3. Rsyslog направляет сообщения журнала локальному узлу syslog на порт 5000 с использованием TCP

Rsyslog направляет сообщения журнала локальному узлу syslog на порт 5000 с использованием TCP

2017-02-21 5 views
8

Я настроил фильтр ниже для rsyslog, чтобы направить несколько сообщений SSH на определенный TCP-порт 5000 в локальной системе, чтобы служба, работающая на 5000 будет обрабатывать сообщения SSH далее.Rsyslog направляет сообщения журнала локальному узлу syslog на порт 5000 с использованием TCP

if $fromhost-ip == '127.0.0.1' and (($msg contains 'SSH') and ($msg contains 'Test')) then @@127.0.0.1:5000

Все, кажется, хорошо, но сообщения не перенаправляются на порт 5000, и если мы направляем сообщения на порт UDP он работает нормально.

Ниже приведен фильтр сообщений, направляемых на порт UDP.

if $fromhost-ip == '127.0.0.1' and (($msg contains 'SSH') and ($msg contains 'Test')) then @127.0.0.1:5000

Не могли бы вы сообщить мне, почему TCP-порт не работает и работает порт UDP.

источник

2017-02-21 sach

+0

Может брандмауэр мешает. «Telnet 127.0.0.1 5000» подключается успешно или дает ошибку? –

+0

@MarkPlotnick, Telnet работает нормально. root @ blr09> telnet 127.0.0.1 5000 Попытка 127.0.0.1 ... Подключено к 127.0.0.1. Символ выхода - '^]'. ^] telnet> – sach

+0

Вы можете проверить, действительно ли rsyslog прослушивает порт? 'netstat -tnlp | grep rsyslog'? Затем убедитесь, что межсетевой экран также настроен (например, в Fedora): «firewall-cmd - zone = zone --add-port = 5000/tcp» – Arash

ответ

1

Может быть, вы решили использовать RELP? (https://en.wikipedia.org/wiki/Reliable_Event_Logging_Protocol)

Как описано в https://linux.die.net/man/5/rsyslog.conf

вам нужно заменить "а затем @ 127.0.0.1: 5000" к "то: omrelp: 127.0.0.1: 5000"

источник

2017-03-02 07:06:49

+0

Я получаю ниже ошибку, когда добавляю omrelp и перезапускаю rsyslog. «2 марта 04:40:31 blr09 rsyslogd-2207: ошибка во время разбора файла /etc/rsyslog.d/atl_security.conf, в строке или перед строкой 1: произошли ошибки в файле '/etc/rsyslog.d/atl_security. conf 'вокруг строки 1 [try http://www.rsyslog.com/e/2207] " root @ blr09> cat /etc/rsyslog.d/atl_security.conf if $ fromhost-ip ==' 127.0. 0.1 'и (($ msg содержит' SSH ') и ($ msg содержит' Test ')), то: omrelp: 127.0.0.1: 5000 root @ blr09> – sach

+0

Можете ли вы предоставить вывод rsyslogd -v –

+0

root @ blr09 > rsyslogd -v rsyslogd 7.4.7, составленный с: FEATURE_REGEXP: Да FEATURE_LARGEFILE: Нет GSSAPI Kerberos 5 поддержка: Да FEATURE_DEBUG (отладочная сборка, медленный код): Нет 32bit атомарные операции поддерживаются: Да поддерживаются 64bit атомарные операции: Да выполнения Instrumentation (медленный код): Нет Поддержка uuid: Да Для получения дополнительной информации см. http://www.rsyslog.com. root @ blr09> – sach

Смежные вопросы

 Смежные вопросы