rsyslogd: ¿Alguna manera de evitar el número de instalaciones locales?

Tenemos cerca de 9-10 aparatos que queremos dirigir el logging a nuestro server rsyslog para. Sin embargo, sólo hay 8 instalaciones locales (0-7). ¿Cómo podemos superar esta limitación?

2 Solutions collect form web for “rsyslogd: ¿Alguna manera de evitar el número de instalaciones locales?”

Registre el nombre de la aplicación en sus posts. Filtre el nombre de la aplicación en lugar de la installation. Si sus aplicaciones no generan posts syslog directamente, puede aplicar un filter de salida (por ejemplo, sed ) para masajear las cosas para que se vean de la manera que desee.

Eche un vistazo a la documentation de Rsyslog sobre las condiciones del filter para ver cómo puede configurar este comportamiento. Basado en la información de esa página, aquí hay un ejemplo de cómo podría poner los posts que comienzan con la cadena "application1" en /var/log/application1 :

 if $msg startswith 'application1' then /var/log/application1 

También puede filtrar explícitamente en el nombre del progtwig , si la aplicación lo establece correctamente:

 if $programname == 'application1' then /var/log/application1 

Puede realizar todo tipo de filtrado complejo en su rsyslog.conf ; lea la documentation para get más información y ejemplos.

EDIT: rsyslog puede utilizar templates para crear files separados para cada server. Algo como lo siguiente debe poner todos los posts de logging en files separados para cada nombre de host. (Se levanta de la página de manual.)

 $template DynFile,"/var/log/system-%HOSTNAME%.log *.* ?DynFile 

Lo siguiente es similar pero no registra posts de debugging. También utiliza el nombre de host de connection en lugar del nombre de host del post. (Esto se basa en lo que he desarrollado para registrar la salida de un Obi100.)

 $template HostFormat,"%timegenerated% %fromhost% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n" $template HostFile,"/var/log/system-%fromhost%.log if $syslogseverity < 7 then -HostFile;HostFormat 

Lea la página del manual y la documentation si tiene necesidades más complejas, o si quiere entender lo que se indica a continuación.

Filtrar por nombre de host. (Cada dispositivo debe tener su propio nombre de host). Si lo desea, puede escuchar en varios puertos y manejar cada puerto por separado.

Las instalaciones están diseñadas para manejar categorías de posts como autorización, correo, impresora, ftp, etc. Como UUCP no se usa mucho más, es probable que lo use para sus propios usos. Pueden ser otras instalaciones no utilizadas en su configuration. Sin embargo, es mejor utilizar los valores de las instalaciones estándar y filtrar por otros datos.

Hay 24 instalaciones, ya que son nombres de bits en una máscara de bits. Esto hace que la agregación arbitraria sets de instalaciones en el mismo logging. El protocolo se especifica en RFC 5424 .

El otro campo es la gravedad. Normalmente los loggings contienen todos los loggings en o por encima de una severidad dada. (Las prioridades más severas tienen valores inferiores, por lo que la comparación normal es menor o igual a la prioridad seleccionada.) Sin embargo, los posts de una installation determinada pueden ser seleccionados, como se hace a menudo para el logging de debugging que recoge los posts de debugging para todas las instalaciones.

Es posible que desee agregar datos para algunas instalaciones en el mismo logging independientemente del dispositivo de origen. Es común registrar el mismo post en varios files de logging.

  • Syslog-ng - Archivo de logging de 6 días tocado al escribir en el file de logging de hoy
  • Netcat, Syslog, UDP y <134>
  • Sincronización NTP no visible en syslog
  • syslog o splunk reenvío a través de Internet
  • cómo hacer linux cdrom montar / desmontar aparecer en syslog
  • Utilice un Mac (10.8) como server de logging remoto
  • VMware: ¿Está funcionando mi Collector SYSLOG?
  • Cómo detener syslog de escuchar 514 en CentOS 5.8
  • ¿Cómo se utilizan variables patterndb en syslog-ng?
  • ¿Cómo detengo la información de logging de postfix entrando en syslog?
  • Rsyslog filtrar por cliente
  • ¿Qué significan las partes adicionales de la input del logging de ping de iptables?
  • ¿Cómo se habilita y configura el server syslog en el server OSX 10.6?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.