问题标签 [syslog-ng]

好的..

我将树莓派用作 Cisco ASA 和 Cisco 路由器的系统日志服务器。

我将日志填充到我的 /var/log/network 目标。它们当前使用以下格式记录：_$MONTH$DAY$YEAR.log，使用 ROUTER 或 FIREWALL 作为设备。

到目前为止，它工作得很好！我每天都会收到路由器和防火墙的日志。问题是我得到了相当大的日志......因为 ASA 而速度非常快。

我是 logrotate 的新手..所以这是我到目前为止所拥有的：

在我的 /etc/logrotate.d/syslog-ng 目录中......

对于 logrotate.conf 文件中的全局选项：

现在...如果我尝试强制 logrotate 运行：

而不是删除超过 5 天的文件（基于 rotate 5 命令）..我得到这个：

FIREWALL_03062014.log.1.1.1.1.1.1 FIREWALL_03082014.log.1.1.1.1.1.1 FIREWALL_03122014.log

如果有帮助，“logrotate /etc/logrotate.d -v”命令的输出如下：

有人可以建议将 json 中的 syslog-ng 事件（如http://hastebin.com/gesuyuluwo.json）在sensu中转换为（关键）事件的最佳方法吗？

谢谢你。

我正在设计一个集中式系统日志服务器，以接收来自不同设备的日志，并将它们写入 MySQL。虽然有太多重复的消息，但我正在努力寻找解决方案。

我发现 syslog-ng >= 2.1 增加了对抑制重复消息的支持（更改日志）。但它似乎无法与 SQL 目标一起使用？

我可以在文件目标 ( file-destination-doc )中找到抑制选项，但在 SQL 目标中，我找不到此选项 ( sql-destination-doc )

有什么方法可以抑制重复消息到 syslog-ng 中的 SQL 目标？

我已经为在 sles 10 上运行的 java 应用程序配置了 syslog-ng，当发生异常时，它会显示堆栈跟踪而没有换行。

任何建议表示赞赏。

我正在使用 Logstash 读取日志文件。以下是文件：

配置文件：

输出：

我没有得到任何输出。我的日志文件具有以下形式的行：

请帮忙。

编辑：

添加行后

输入我得到以下输出：

因此，只有日志行被捕获，其余字段没有得到匹配。任何想法？

目标

我想在 Ubuntu 12.04 上配置 bind9 以注销到命名管道。目的是将日志记录重定向到 syslog-ng 服务。

问题

我的问题是，当我将日志记录通道定向到命名管道文件时，绑定服务将无法启动。这是日志记录子句，其中 query.log 是 FIFO 文件：

这是在 syslog 中找到的输出：

我试过的

我已经验证权限是正确的，并且记录到标准文件可以正常工作。我还验证了我可以通过管道发送数据，方法是运行

我看到数据按预期出现在 syslog-ng 中。我还在 Apparmor 中将 /usr/sbin/named 设置为抱怨和禁用，但我仍然遇到这个问题。

帮助？

我提议做的事情可能吗？如果是这样，任何关于我可能做错了什么的指针。

我在 CentosOS linux 环境中，我正在使用 syslog-ng 为我的 php 应用程序配置日志记录。

在 php 方面，我使用以下代码生成日志：

在我编辑我的 syslog-ng.conf 文件之前，从 php 代码生成的所有日志都已登录到 /var/log/messages。

我想将我的日志保存到 /var/log/program1.log，所以我在 syslog-ng.conf 中添加了以下行：

但是当我重新启动 syslog-ng 服务时，我收到以下错误：

任何帮助将非常感激 ：）

如何以编程方式在 syslog-ng 中设置日志级别？

因此，我通过编辑 /etc/syslog-ng/syslog-ng.conf 并重新启动 syslog-ng 服务来设置日志级别。

我有一个 php 应用程序，我希望用户能够从 Web UI 设置日志级别。

如何使用 php/linux 以编程方式设置 syslog-ng 的日志级别？

我已经看到了一些关于 setlogmask($mask_priority) 的东西，但我看不到如何使用 php/linux 来使用它。

谢谢

我一直在使用 Snort IDS，并且成功地生成了一些测试日志。我面临的问题与他们的格式（alert_fast）有关。下面提供了一些示例日志。

07/23-20:08:56.631567 [ ] [1:2002911:4] ET SCAN 潜在 VNC 扫描 5900-5920 [ ] [分类：尝试信息泄漏] [优先级：2] {TCP} 10.42.42.253:58606 -> 10.42.42.25:5906

07/23-20:08:56.685455 [ ] [1:2010937:2] ET POLICY 可疑入站到 mySQL 端口 3306 [ ] [分类：潜在不良流量] [优先级：2] {TCP} 10.42.42.253:40328 -> 10.42.42.56:3306

Syslog-ng 向它附加了某种标题：

7 月 23 日 20:08:56 SOME_IP 07/23-20:08:56.685455 [ ] [1:2010937:2] ET POLICY 可疑入站到 mySQL 端口 3306 [ ] [分类：潜在不良流量] [优先级：2] {TCP 10.42.42.253:40328 -> 10.42.42.56:3306

我需要一种方法来摆脱这些初始数据。我尝试使用目的地d_file { file(“/var/log/file.log” template(“$MSG\n”)); };，但随后产生：

08:56.685455 [ ] [1:2010937:2] ET POLICY 可疑入站到 mySQL 端口 3306 [ ] [分类：潜在的不良流量] [优先级：2] {TCP} 10.42.42.253:40328 -> 10.42.42.56:3306

如您所见，一些原始日志也被删除。

请注意，我想不惜一切代价避免更改为不同的 Snort 日志格式。当然必须有某种方法来解决这个问题？

我想使用 syslog-ng 来接收 netgear 日志，并使用 python 脚本进程。

但是 syslog-ng 没有运行 python 脚本。

系统日志-ng.config

和这样的python脚本

脚本已经是 777 即使我将配置更改为使用 'echo' 直接管道到文件中，也没有写一个字......

所以为什么？