0

我有一个集中的 syslog-ng 系统,它接收来自各种服务器的提要,并将其存储起来。幸运的是,我具有前瞻性思维,每个系统都通过自己的端口进入,这有助于我区分哪些流量是哪些流量。

我需要将部分流量发送到运行 rsyslogd 的网络传感器。但是那个传感器只在 514 上监听,我无法改变它。但是我需要 rsyslogd 框能够分离流量,并知道它最初来自哪里,以便我可以对传感器上的软件应用正确的重写和发送(基本上,将其全部模板化)。

我怎样才能做到这一点?我知道 syslog-ng 框上有标记,但据我所见,这实际上不适用于出站 UDP 流量。

4

1 回答 1

0

如果使用 UDP,则可以使用 syslog-ng 的 spoof-source() 选项。它需要一个用 libnet 编译的 syslog-ng 包。有关详细信息,请查看https://www.balabit.com/sites/default/files/documents/syslog-ng-ose-3.7-guides/en/syslog-ng-ose-v3.7-guide-admin/上的文档html-single/index.html

于 2015-10-28T08:11:33.530 回答