这几天在研究如何使用syslog去收集server及设备的log
测试环境如下:
centos 6.5 (rsyslog server): 192.168.2.25, 192.168.218.129
linux mint (client): 192.168.2.32
windows 7 (client): 192.168.2.5
GNS3 ASA 8.4.2 (client): 192.168.218.135
(client端都是VM)
防火墙跟SElinux还有防毒都全关
名称解析每台都没问题
server上的rsyslog.conf内有修改的设定是
$Modload imudp.so
$UDPServerrun 514
.
.
.
+mint(hostname)
*.* /var/log/mint.log (其他台是类似设定)
透过wireshark抓封包发现client都有送出syslog往server
但是在server端使用tcpdump只有看到mint这台的资讯有进来
档案也只有记录到mint这台
在网络上寻找文章发现另一种设定方式
if $fromhost-ip startswith '192.168.2.5' then /var/log/windows.log
& ~
因为是第一次使用 目前对于+$hostname 及 if这两种设定方式的不同点还不太懂
换成if这种设定方法在公司测试就可接收到windows及网络设备的log
但是家里电脑测试又不成功(两种设定方法都失败)
一样是wireshark抓的到封包 但是tcpdump就没有 进来的也是只有mint
不知道有没有前辈能指点迷津
可以的话 希望能指点小弟这两种设定方法的差异性
感谢花您宝贵的时间看完