Remote Logging mit syslog???

[Ice]

Remote Logging mit syslog??? [solved]

Hi Leute,

ich weiß, dass dieses Thema schon öfter auf den Tisch kam und dass es auch Wiki-Artikel dazu gibt. Ich habe die Board-Suche und Google hinreichend genutzt, aber irgendwie sehe ich anscheinend den Wald vor lauter Bäumen nicht, denn ich bringe mein System einfach nicht dazu, auf den entfernten Server zu loggen.
Hier meine Konfiguration auf dem Log-Server:

rc.conf

syslogd_flags="-a 192.168.1.2/32 -b 192.168.1.1"

syslogd.conf

+@
*.err;kern.warning;auth.notice;mail.crit                /dev/console
*.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err   /var/log/messages
security.*                                      /var/log/security
auth.info;authpriv.info                         /var/log/auth.log
mail.info                                       /var/log/maillog
lpr.info                                        /var/log/lpd-errs
ftp.info                                        /var/log/xferlog
cron.*                                          /var/log/cron
*.=debug                                        /var/log/debug.log
*.emerg                                         *
# uncomment this to log all writes to /dev/console to /var/log/console.log
#console.info                                   /var/log/console.log
# uncomment this to enable logging of all log messages to /var/log/all.log
# touch /var/log/all.log and chmod it to mode 600 before it will work
#*.*                                            /var/log/all.log
# uncomment this to enable logging to a remote loghost named loghost
#*.*                                            @loghost
# uncomment these if you're running inn
# news.crit                                     /var/log/news/news.crit
# news.err                                      /var/log/news/news.err
# news.notice                                   /var/log/news/news.notice
!startslip
*.*                                             /var/log/slip.log
!ppp
*.*                                             /var/log/ppp.log
+host1.local
*.*                                             /var/log/host1.log

/etc/hosts

192.168.1.2           host1.local          host1

Der syslogd wurde neu gestartet und läuft mit den Parametern wie in der rc.conf definiert. sockstat sagt mir auch, dass der Netzwerk-Socket aktiv ist.

root     syslogd    64016 5  udp4   192.168.1.1:514       *:*

Wenn ich nun auf host1 ein

logger -h 192.168.1.1 "Hallo"

aufrufen kommt leider am Log-Server nichts in den Logs an, weder in /var/log/host1.log noch in /var/log/messages. Das Gleiche passiert übrigens, wenn ich den syslog auf dem Host komplett konfiguriere, damit er auf dem Log-Server loggt. Am logger kann es also folglich eigentlich nicht liegen.
Laut tcpdump scheint aber auf dem Log-Server schon gar nichts anzukommen.
Beide Systeme sind FreeBSD 6.1.
Hat jemand eine Idee, was ich übersehe?

Gruß,

Ice

 

[marzl]

# uncomment this to enable logging to a remote loghost named loghost
#*.* @loghost

Hast du das mal aktiviert?

 

[Ice]

Auch das habe ich auf dem Client mal aktiviert. Eine

logger "Hallo"

wird dann zwar in den lokalen Logs des CLient angezeigt, aber auf dem Log-Server taucht nachwievor keinerlei Meldung auf.

Gruß,

Ice

 

[MadMax]

Hallo!

Also meine syslog.conf sieht so aus:

+@
hier alle Einträge
!*

+remote.host.1
hier alle Einträge
!*

+remote.host.2
hier alle Einträge
!*

und dazu die rc.conf:

syslogd_flags="-a ip.remote.host.1:* -a ip.remote.host.2:* -b ip.server"

Diese Konfiguration funktioniert.

Grüße
-MadMax

 

[Ice]

Remote Logging mit syslog??? [solved]

@MadMax

Thx, die Angabe des Ports in der rc.conf war die Lösung. Werde das mal gleich hier im wiki ergänzen.

Gruß,

Ice

 

[MadMax]

@MadMax

Thx, die Angabe des Ports in der rc.conf war die Lösung. Werde das mal gleich hier im wiki ergänzen.

Gruß,

Ice

@Ice

Ich habe mir gerade mal das Wiki zu diesem Thema angesehen und bin über folgende Passage gestolpert:

Besonders zu beachten an der Stelle ist, dass der Eintrag für firewall.local erst funktioniert, wenn man diese Maschine in die /etc/hosts eingetragen hat! Es reicht nicht aus, wenn der Hostname über DNS auflösbar ist oder man in die /etc/syslog.conf eine IP einträgt. Der entfernte Host muss in jedem Fall (nur für die
Filterung) in die /etc/hosts eingetragen werden.

Das ist falsch. Normale DNS-Auflösung reicht aus.

Könntest du das bitte im Wiki korrigieren?

Grüße
-MadMax

 

[Ice]

@MadMax
Soweit hatte ich gar nicht gelesen. Werde das dann mal auch noch korrigieren.

Thx nochmal,

Ice

 

[madmax79]

hallo,

frisch registiert und schon die 1. frage

Folgendes:
Ich möchte auch einen loghost definieren, dazu hab ich folgende Eintrage getätigt:

/etc/rc.conf:

syslogd_flags="-a astrid.domain:* -b 10.0.0.10"

/etc/syslog.conf:

+astrid.domain
*.*                                         /var/log/astrid/astrid
!*

Im debug modus erscheint folgendes:

validate: dgram from IP 10.0.0.148, port 514, name astrid.domain;
accepted in rule 0.
logmsg: pri 46, flags 0, from astrid, msg sshd[12198]: Accepted publickey for root from 10.0.0.145 port 48361 ssh2
cvthname(10.0.0.148)
validate: dgram from IP 10.0.0.148, port 514, name astrid.domain;
accepted in rule 0.
logmsg: pri 46, flags 0, from astrid, msg sshd[12200]: (pam_unix) session opened for user root by root(uid=0)

Doch leider schreibt der syslog nichts in die datei
nachtrag: diese Einträge loggt er nirgends hin....
Hat irgend jemand eine idee?

thx,
madmax79

 

[madmax79]

Nochwas ist mir aufgefallen, und zwar bei den anderen log einträge schreibt der syslog explizit:

logmsg: pri 26, flags 0, from watchdog, msg Oct 11 11:03:20 postfix/cleanup[90768]: 81B1711460: message-id=<000d01c6ed13$9ca490b0$e1746254@sabrina>
Logging to FILE /var/log/maillog

und genau das (Logging to FILE /var/log/maillog) schreibt er bei den remote logs nicht dazu:

logmsg: pri 46, flags 0, from astrid, msg sshd[23749]: Accepted publickey for root from 10.0.0.145 port 52800 ssh2
cvthname(10.0.0.148)

Obwohls ja in der syslog.conf definiert ist...
Ich habs auch schon nur mit der IP versucht (also in der rc.conf und syslog.conf), ändert aber nichts. natürlich ist das file /var/log/astrid/astrid existent.
Gehört auch den root, berechtigung 640...

Hat wirklich keiner eine Idee?

danke

 

[madmax79]

hm, falls meine frage nicht zu diesem thread paßt, wäre es nett wenn mich jemand darauf hinweisen würde...
Ich weiß wirklich nicht mehr weiter, falls ihr mehr informationen braucht, meldet euch bitte.
Vielleicht hift ja das irgendwen:

debug meldung beim starten des syslogs:

/etc/rc.d/syslogd start
Starting syslogd.
allowaddr: rule 0: numeric, addr = 10.0.0.0, mask = 255.0.0.0; port = 0
listening on inet and/or inet6 socket
sending on inet and/or inet6 socket
off & running....
init
cfline("*.err;kern.warning;auth.notice;mail.crit                /dev/console", f, "*", "+watchdog")
cfline("*.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err   /var/log/messages", f, "*", "+watchdog")
cfline("security.*                                      /var/log/security", f, "*", "+watchdog")
cfline("auth.info;authpriv.info                         /var/log/auth.log", f, "*", "+watchdog")
cfline("mail.info                                       /var/log/maillog", f, "*", "+watchdog")
cfline("lpr.info                                        /var/log/lpd-errs", f, "*", "+watchdog")
cfline("ftp.info                                        /var/log/xferlog", f, "*", "+watchdog")
cfline("cron.*                                          /var/log/cron", f, "*", "+watchdog")
cfline("*.=debug                                        /var/log/debug.log", f, "*", "+watchdog")
cfline("*.emerg                                         *", f, "*", "+watchdog")
cfline("*.*                                             /var/log/astrid/astrid", f, "*", "+10.0.0.148")
4 3 2 3 5 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 X CONSOLE: /dev/console
7 5 2 5 5 5 6 3 5 5 X 5 5 5 5 5 5 5 5 5 5 5 5 5 X FILE: /var/log/messages
X X X X X X X X X X X X X 8 X X X X X X X X X X X FILE: /var/log/security
X X X X 6 X X X X X 6 X X X X X X X X X X X X X X FILE: /var/log/auth.log
X X 6 X X X X X X X X X X X X X X X X X X X X X X FILE: /var/log/maillog
X X X X X X 6 X X X X X X X X X X X X X X X X X X FILE: /var/log/lpd-errs
X X X X X X X X X X X 6 X X X X X X X X X X X X X FILE: /var/log/xferlog
X X X X X X X X X 8 X X X X X X X X X X X X X X X FILE: /var/log/cron
7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 X FILE: /var/log/debug.log
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 X WALL:
8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 X FILE: /var/log/astrid/astrid
logmsg: pri 56, flags 4, from watchdog, msg syslogd: restart
syslogd: restarted

danke (ein mittlerweile schon ziemlich entnervter und frustierter)
madmax79

 

[cheasy]

Regel #1: Neue Frage, neuer Thread

hallo,

frisch registiert und schon die 1. frage
...

Neue Fragen schreibt man in neue Threads. Sonst wird die Frage allzuleicht übersehen, wie Du bereits bemerken durftest.

Technisch testet man syslog am besten, indem man manuell etwas reinschreibt: logger(1) ist Dein Freund.