Archive of posts filed under the rsyslog category.

Логирование событий на удаленный сервер rsyslog

Posted by on

System–>Logging–>Actions–>New Action Type – remote Remote Address – IP сервера syslog Потом делаем новый Rules В поле Topics выбираем события какие мы хотим логировать, в поле Action выбираем наш созданный action. На стороне сервера нужно отредактировать rsyslog.conf, раскоментировав следующие строки: # vi /etc/rsyslog.conf # Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 и создать конфигурационный …

Continue reading ‘Логирование событий на удаленный сервер rsyslog’ »

Подавить сообщения в /var/log/messages вида: Created slice, User Slice of nginx и т.п.

Posted by on

To suppress these log entries in /var/log/messages, create a discard filter with rsyslog, e.g., run the following command: # echo ‘if $programname == “systemd” and ($msg contains “Starting Session” or $msg contains “Started Session” or $msg contains “Created slice” or $msg contains “Starting user-” or $msg contains “Starting User Slice of” or $msg contains “Removed session” …

Continue reading ‘Подавить сообщения в /var/log/messages вида: Created slice, User Slice of nginx и т.п.’ »

iptables – логирование в отдельный файл

Posted by on

Надоело смотреть мусор от логов iptables в файле messages. Исправляем. Если rsyslog уже установлен в системе, то создаем конфигурационный файл: # touch /etc/rsyslog.d/10-iptables.conf Имя с цифрой 10 (10-iptables) – так как для демона важен порядок конфигурационных файлов, а в системе уже присутствует 50-default.conf, он бы первый заворачивал все логи в messages. # vi /etc/rsyslog.d/10-iptables.conf :msg, contains, …

Continue reading ‘iptables – логирование в отдельный файл’ »

В messages сообщения вида – systemd: Removed slice User Slice of root

Posted by on

Системный журнал заполняется сообщениями вида: # less /var/log/messages Mar 17 04:47:29 sdata systemd: Removed slice User Slice of root. Mar 17 05:01:01 sdata systemd: Created slice User Slice of root. Mar 17 05:01:01 sdata systemd: Started Session 951 of user root. Mar 17 05:01:02 sdata systemd: Removed slice User Slice of root. Mar 17 06:01:01 …

Continue reading ‘В messages сообщения вида – systemd: Removed slice User Slice of root’ »

rsyslog

Posted by on

Если сообщения пересылаются между хостами, использующими rsyslog, можно вместо plain TCP sysog использовать RELP — Reliable Event Logging Protocol. Был создан для rsyslog, сейчас поддерживается и некоторыми другими системами. В частности, его понимают Logstash и Graylog. Для транспорта использует TCP. Может опционально шифровать сообщения с помощью TLS. Надёжнее plain TCP syslog, не теряет сообщения при разрыве соединения. …

Continue reading ‘rsyslog’ »

arpwatch

Posted by on

arpwatch — демон, который отслеживает соответствие между IP и MAC-адресами, и при обнаружении аномалий, сообщающий об этом в Syslog. Используется как один из инструментов для борьбы с ARP-spoofing’ом. Демон анализирует ARP-ответы на сетевом интерфейсе, к которому он привязан, и запоминает соответствие IP-адресов и MAC-адресов. Как только он видит, что соответствие нарушено, или обнаруживает появление новых адресов в сети, он сообщает об этом в …

Continue reading ‘arpwatch’ »