| View previous topic :: View next topic |
| Author |
Message |
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
 Posted: Tue Aug 30, 2005 11:05 am Post subject: TIP: Wie loggt man mit syslog-ng in mehrere Logfiles |
 |
|
hi,
also ich war zutiefst genervt von der default installation von syslog-ng unter gentoo. lange zeit hab ich das problem einfach "ignoriert" und nun kann mein syslog-ng auch in mehr als nur /var/log/messages loggen.
1. welche logging facilities gibts denn überhaupt?
das verrät wie so oft die manpage von syslog. mittels
kann man die entsprechende manpage einsehen und es erschließt sich einem die liste "facility" man kann nun ganz bequem alle gelisteten facilities benutzen um log-output in entsprechende files umzulenken.
| Code: |
LOG_AUTH
security/authorization messages (DEPRECATED Use LOG_AUTHPRIV instead)
LOG_AUTHPRIV
security/authorization messages (private)
LOG_CRON
clock daemon (cron and at)
LOG_DAEMON
system daemons without separate facility value
LOG_FTP
ftp daemon
LOG_KERN
kernel messages
LOG_LOCAL0 through LOG_LOCAL7
reserved for local use
LOG_LPR
line printer subsystem
LOG_MAIL
mail subsystem
LOG_NEWS
USENET news subsystem
LOG_SYSLOG
messages generated internally by syslogd
LOG_USER (default)
generic user-level messages
LOG_UUCP
UUCP subsystem
|
2. Wie bringe ich dem syslog-ng nun bei, was wohin soll?
Es gibt für syslog-ng eine config datei unter
| Code: |
/etc/syslog-ng/syslog-ng.conf |
diese ist zu editieren nach meinem beispiel hier
| Code: | options {
long_hostnames(off);
sync(0);
use_dns(no);
stats(43200);
};
source src { unix-stream("/dev/log"); internal(); pipe("/proc/kmsg"); };
destination messages { file("/var/log/messages"); };
destination mail { file("/var/log/mail"); };
destination console_all { file("/dev/tty12"); };
destination authpriv { file("/var/log/authpriv"); };
destination cron { file("/var/log/cron"); };
destination ftp { file("/var/log/ftp"); };
destination kern { file("/var/log/kern"); };
destination auth { file("/var/log/auth"); };
filter f_mail { facility(mail); };
filter f_authpriv { facility(authpriv); };
filter f_cron { facility(cron); };
filter f_ftp { facility(ftp); };
filter f_kern { facility(kern); };
filter f_auth { facility(auth); };
log { source(src); destination(messages); };
log { source(src); destination(console_all); };
log { source(src); filter(f_mail); destination (mail); };
log { source(src); filter(f_authpriv); destination (authpriv); };
log { source(src); filter(f_cron); destination (cron); };
log { source(src); filter(f_ftp); destination (ftp); };
log { source(src); filter(f_kern); destination (kern); };
log { source(src); filter(f_auth); destination (auth); };
|
die notation funktioniert wie folgt:
destination - dies bezeichnet das file in den das gewünschte facility loggen soll
filter - dies erzeugt einen filter der den rohen log-stream durchforstet
log - verknüpft letzten endes das gesamte zusammen und schaufelt logfiles voll anhand der gewählten filter und destinations
die entsprechenden destinations werden von syslog-ng selbstständig erzeugt. sobald ein event auftritt welches gelogged werden soll. man muss sie also in /var/log nicht erst erzeugen.
so, das wars eigentlich, ich hoffe das ganze hilft euch auch ein wenig weiter  .
xces machte noch auf eine website über syslog-ng und die config aufmerksam:
http://www.reintechnisch.de/Inhalt/computer/admin/syslog-ng.html
_________________
adopt an unanswered post
erst denken, dann posten
Last edited by toskala on Tue Aug 30, 2005 4:27 pm; edited 2 times in total |
|
| Back to top |
|
 |
Lenz
Veteran
Joined: 17 Jul 2003
Posts: 1439
Location: Marburg [HE, D, EU]
|
| Posted: Tue Aug 30, 2005 11:14 am Post subject: |
|
|
Cool, danke toskala. Werd' ich gleich ausprobieren, wenn ich wieder mal zuhause bin.
_________________
.:: Lenz' Signature 1.7b ::.
| Gentoo Linux since v1.4 (08-2003) [Screenshot]
| NetHack Highscore: 5.476.380 Pts., Val-Dwa-Fem-Law, ~ ascended to demigoddess-hood ~ |
|
| Back to top |
|
|
Tussypackzero
n00b
Joined: 22 Aug 2005
Posts: 6
Location: /dev/germany
|
| Posted: Tue Aug 30, 2005 11:43 am Post subject: |
|
|
| Danke, sowas habe ich gesucht! Mal direkt machen. |
|
| Back to top |
|
|
xces
Guru
Joined: 11 Oct 2002
Posts: 515
|
| Posted: Tue Aug 30, 2005 3:25 pm Post subject: |
|
|
Entschuldige meine Ignoranz  , aber an welcher Stelle hast du syslog-ng neue Facilities beigebracht? Du filterst doch nur und änderst dann entsprechend die Ziele. |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
| Posted: Tue Aug 30, 2005 3:57 pm Post subject: |
|
|
ich habe syslog selbst lediglich beigebracht existente facilities ordentlich zu filtern. und ja, es ist mir bewusst, dass ich die veralteten vorhandenen linux syslog facilities verwende. nenne mir doch einfach einen tolleren betreff dann kann ich diesen ändern. mein anliegen war es auch nicht, das stellt der thread schon in den ersten drei zeilen heraus, syslog an sich zu verändern, sondern die, meiner meinung nach, schwachsinnigen default einstellungen zu beheben. ja, mich hat das beschäftigt, mich hat das genervt und ich gehe davon aus, dass es viele andere ebenso nervt und beschäftigt. hier ist eine lösung ganz im sinne von syslog-ng. himmel...
_________________
adopt an unanswered post
erst denken, dann posten |
|
| Back to top |
|
|
xces
Guru
Joined: 11 Oct 2002
Posts: 515
|
| Posted: Tue Aug 30, 2005 4:16 pm Post subject: |
|
|
| toskala wrote: | | nenne mir doch einfach einen tolleren betreff dann kann ich diesen ändern. |
"Wie loggt man mit syslog-ng in mehrere Logfiles"
"Wie filtert man mit syslog-ng Einträge"
"Wie ändert man mit syslog-ng die Ziele für Einträge"
...
| toskala wrote: | | ja, mich hat das beschäftigt, mich hat das genervt und ich gehe davon aus, dass es viele andere ebenso nervt und beschäftigt. hier ist eine lösung ganz im sinne von syslog-ng. |
Dann sei wenigstens noch ein Link zu http://www.reintechnisch.de/Inhalt/computer/admin/syslog-ng.html erlaubt...
So schön war es dann doch wieder nicht. |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Tue Aug 30, 2005 4:17 pm Post subject: |
|
|
hihi
nicht aufregen, aber irgendwie hat xces schon recht - nur im Gegensatz zu mir hat er das auch gesagt was ich mir nur dachte.
Ich finds toll das du dir die Mühe gemacht hast und mal eine kleine Einleitung für Syslog-NG zu schreiben, und irgendwie finde ich die sogar besser als das was im Securityhandbuch steht.
Auf die Art entwickelt sich das Forum nämlich immer mehr zu einem universellen 'wie geht das mit Linux' Anlaufpunkt und spart einem viel Sucherei in Google und Co.
Nur wenn man den Titel liest denkt man eben 'huh - wie wo was geht' um dann festzustellen 'achsooo'.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
| Posted: Tue Aug 30, 2005 4:25 pm Post subject: |
|
|
ja nun, ich reg mich ja nich auf, es war nu nur wirklich nich so gemeint und bei näherem betrachten stell ich ja fest, dass es wirklich vielleicht falsch aufgefasst werden kann. so, titel geändert
_________________
adopt an unanswered post
erst denken, dann posten |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
| Posted: Tue Aug 30, 2005 4:29 pm Post subject: |
|
|
| xces wrote: | | toskala wrote: | | nenne mir doch einfach einen tolleren betreff dann kann ich diesen ändern. |
"Wie loggt man mit syslog-ng in mehrere Logfiles"
"Wie filtert man mit syslog-ng Einträge"
"Wie ändert man mit syslog-ng die Ziele für Einträge"
...
|
es sei erledigt
ebenso eingefügt, danke für den link.
cheerios,
toskala
_________________
adopt an unanswered post
erst denken, dann posten |
|
| Back to top |
|
|
|
Deutsches Forum (German)
