PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Syslogmeldungen werden nicht angenommen



red_
20.03.07, 15:44
Hallo!
Ich habe eine Cisco Pix (IP:10.1.111.6) die all ihre syslogmeldungen auf meinen LinuxServer (Ubuntu - Hostname: woz-sv18) sendet!

mit


x@WOZ-SV18:/var/log$ sudo tcpdump -i eth0 udp | grep 10.1.111.6
sehe ich das die Meldungen ankommen



15:40:15.777805 IP 10.1.111.6.syslog > woz-sv18.kfvnet.local.syslog: SYSLOG local4.info, length: 120
15:40:15.777851 IP 10.1.111.6.syslog > woz-sv18.kfvnet.local.syslog: SYSLOG local4.info, length: 166
15:40:15.841322 IP 10.1.111.6.syslog > woz-sv18.kfvnet.local.syslog: SYSLOG local4.notice, length: 123
15:40:16.530438 IP 10.1.111.6.syslog > woz-sv18.kfvnet.local.syslog: SYSLOG local4.info, length: 140
15:40:16.530474 IP 10.1.111.6.syslog > woz-sv18.kfvnet.local.syslog: SYSLOG local4.info, length: 141
15:40:16.530507 IP 10.1.111.6.syslog > woz-sv18.kfvnet.local.syslog: SYSLOG local4.info, length: 140
15:40:16.530541 IP 10.1.111.6.syslog > woz-sv18.kfvnet.local.syslog: SYSLOG local4.info, length: 140


soweit so gut jetzt sollte sie die syslog.conf in die passende Datei schreiben. Diese hat folgende Konfiguration.


local4.notice* -/var/log/router_info.log
local4.info* -/var/log/router.log

10.1.111.6.* -/var/log/router.log
10.1.111.6* -/var/log/router.log
pix-drive* -/var/log/router.log
10.1.111.6.syslog -/var/log/router.log
10.1.112.5.* -/var/log/router.log


doch die /var/log/router.log bleibt einfach leer und ich sehe auch sonst keine Fehlermeldung

was mache ich falsch das die Daten nicht weiterverarbeite und die router.log gefüllt wird!

ich hoffe ich versteht mein Problem und könnt mir weiter helfen!

Danke & LG Red_

MEvertz
21.03.07, 15:21
Ist auf dem Zielsystem syslog auch so konfiguriert, dass es aufs netzwerk lauscht?

/etc/init.d/
irgendwas mit syslog (hab gerade keinen rechner zum schauen zur hand)
da gibts eine Option -D glaube ich.

bla!zilla
21.03.07, 15:38
Also so



10.1.111.6.* -/var/log/router.log
10.1.111.6* -/var/log/router.log
pix-drive* -/var/log/router.log
10.1.111.6.syslog -/var/log/router.log
10.1.112.5.* -/var/log/router.log


klappt das schon mal nicht. Sorge bitte dafür das dein Syslogd auf Port 514/udp
horcht.

red_
26.03.07, 12:14
Ist auf dem Zielsystem syslog auch so konfiguriert, dass es aufs netzwerk lauscht?

/etc/init.d/
irgendwas mit syslog (hab gerade keinen rechner zum schauen zur hand)
da gibts eine Option -D glaube ich.


Also so



10.1.111.6.* -/var/log/router.log
10.1.111.6* -/var/log/router.log
pix-drive* -/var/log/router.log
10.1.111.6.syslog -/var/log/router.log
10.1.112.5.* -/var/log/router.log


klappt das schon mal nicht. Sorge bitte dafür das dein Syslogd auf Port 514/udp
horcht.



Hallo danke erstmals für die Anworten, den Syslogdaemon starte ich mit
syslogd -r damit sollte er aufs Netzwerk "horchen"

und mit
cat /etc/services | grep 514 bekomme ich folgende Einträge


syslog 514/udp
sollte somit auch passen oder?

bla!zilla
26.03.07, 12:57
Ja lauscht er denn auch wirklich? Zu prüfen mit netstat -tulpen.

heatwalker
26.03.07, 13:44
Vielleicht bin ich ja nicht mehr ganz uptodate,
aber in der syslog.conf kann ich doch nur eintragen von welcher IP-Adresse er Logs annehmen darf?
Die Möglichkeit von einer IP-Adresse in eigenen Logs zu schreiben kenne ich vom Syslogd nicht.

Oder wird syslog-ng benutzt?