Системный журнал не записывает журналы, полученные по TCP в файл
Я пытаюсь установить централизованный rsyslog сервер на CentOS 6.5 для маршрутизаторов Cisco и переключателей. На устройствах Cisco я назначил корректную дату и включил метки времени, регистрируясь к серверу по TCP на порте 514, установил средство на local4 для маршрутизаторов и local5 для переключателей, и захватываю отладку для тестирования.
В/etc/rsyslog.conf я включил TCP и установил local4.* для входа к /var/log/cisco/routers.log и local5.* для входа к /var/log/cisco/switches.log.
Я проверил SELinux, и он не сообщил ни о каких нарушениях. Я протестировал с брандмауэром на (порт 514 позволенных через) и iptables прочь. Я вижу, что соединения устанавливаются, и tcpdump показывает, что пакеты системных файлов регистрации входят в сервер, но системный журнал ничего не регистрирует в файлы. Это не регистрирует ничего полученного к/var/log/messages также.
Когда я протестировал с UDP, он работает превосходный. И это было, не изменяя $AllowedSender. Какие-либо идеи, какова могла быть проблема?
Похоже, вам нужно настроить часть конфигурации $ imtcp.
module(load="imtcp" MaxSessions="500")
input(type="imtcp" port="514")
Добавьте это в начало rsyslog.conf, затем перезапустите службу.
Убедитесь, что rsyslogd действительно прослушивает TCP-порт, используя netstat -tplne
Возможно, вы неправильно включили TCP-сокет.
вы также запускаете rsyslog, чтобы выяснить, что происходит (-d)
В зависимости от оборудования cisco и версии IOS, которую вы используете, это может быть невозможно для фактической отправки с устройства через TCP на сервер системного журнала.
Вкратце: используйте UDP. Если это не вариант, этот технический документ может помочь вам в деталях, как вы можете настроить ведение журнала.
короткая, частично относящаяся к делу цитата из статьи:
«Один из методов заключается в развертывании такого инструмента, как syslog-ng, реализации протокола Syslog с открытым исходным кодом для UNIX (Solaris) и UNIX-подобных систем (Linux). Он расширяет исходную модель демона syslog с помощью фильтрации на основе содержимого , широкие возможности фильтрации и гибкие параметры конфигурации, а также добавление важных функций в Syslog, таких как использование TCP в качестве транспортного протокола между серверами syslog-ng. (Многие поставщики оборудования не поддерживают транспорт TCP в настоящее время »
(обратите внимание на документ от 2009 г.)
Поддержка TCP ... [доступно в] Выпуски ПО Cisco IOS после 12.4 (11) T, 12.2 (33) SRB, 12.2 (33) SB и Cisco IOS XE Release 2.1 12.2 (33) SXI.