mamue
19.05.09, 10:03
Hallo,
ich versuche, die Windows-events zentral zu sammeln. Das geht mit snare und syslog-ng eigentlich ganz gut. Allerdings macht das mit Dateien wenig Sinn, also habe ich eine syslog eine Datenbank spendiert:
destination dest_windows_mysql {
program("/usr/bin/mysql --user=syslogfeeder --password=geh-heim syslog"
template("INSERT INTO syslog
(host, facility, priority, level, tag, date, time, program, msg)
VALUES ( '$HOST', '$FACILITY', '$PRIORITY',
'$LEVEL', '$TAG','$YEAR-$MONTH-$DAY',
'$HOUR:$MIN:$SEC','$PROGRAM', '$MSG' );\n")
template-escape(yes));
};
Das funktioniert aber leider nur, wenn ich AppArmor abschalte. Ich habe mir AppArmor ein wenig angschaut und festgestellt, dass ich davon keinen Plan habe.
Kann mir jemand sagen,
1) ob man AppArmor auf einem Fileserver genausogut abgeschaltet lassen kann
2) wie man Apparmor (über die Datei /etc/apparmor.d/sbin.syslog-ng, nehme ich an) beibringt, dass der Zugriff auf mysql funktioniert?
Danke
mamue
ich versuche, die Windows-events zentral zu sammeln. Das geht mit snare und syslog-ng eigentlich ganz gut. Allerdings macht das mit Dateien wenig Sinn, also habe ich eine syslog eine Datenbank spendiert:
destination dest_windows_mysql {
program("/usr/bin/mysql --user=syslogfeeder --password=geh-heim syslog"
template("INSERT INTO syslog
(host, facility, priority, level, tag, date, time, program, msg)
VALUES ( '$HOST', '$FACILITY', '$PRIORITY',
'$LEVEL', '$TAG','$YEAR-$MONTH-$DAY',
'$HOUR:$MIN:$SEC','$PROGRAM', '$MSG' );\n")
template-escape(yes));
};
Das funktioniert aber leider nur, wenn ich AppArmor abschalte. Ich habe mir AppArmor ein wenig angschaut und festgestellt, dass ich davon keinen Plan habe.
Kann mir jemand sagen,
1) ob man AppArmor auf einem Fileserver genausogut abgeschaltet lassen kann
2) wie man Apparmor (über die Datei /etc/apparmor.d/sbin.syslog-ng, nehme ich an) beibringt, dass der Zugriff auf mysql funktioniert?
Danke
mamue