- syslogd,
 pLYM0rph, 09:26 , 22-Июл-03 (1)>FreeBSD 4.8
>Настроил сислог принимать логи с Cisco.
>Запускаю syslogd все работает.
>Запускаю syslogd -a 212.33.12.1 , где адрес - это адрес cisco. Не
>работает логи не собираются.
>Как с этим бороться?! Такое впечатление что присутствует опция -s (man syslogd)
И посмотри вывод sockstat -4l (присутствует ли в нем 514-й порт?)
- syslogd, LinaS, 10:06 , 22-Июл-03 (2)
>>FreeBSD 4.8
>>Настроил сислог принимать логи с Cisco.
>>Запускаю syslogd все работает.
>>Запускаю syslogd -a 212.33.12.1 , где адрес - это адрес cisco. Не
>>работает логи не собираются.
>>Как с этим бороться?!
>
>Такое впечатление что присутствует опция -s (man syslogd)
>И посмотри вывод sockstat -4l (присутствует ли в нем 514-й порт?)
и файрволлом разрешить
syslogd -d -a 212.33.12.1
в debug mode - и смотришь, доходят ли до него сообщения от Cisco
- syslogd, A Clockwork Orange, 10:34 , 22-Июл-03 (3)
Фаерволом разрешено, у меня логируются все UDP и я вижу в /var/log/security принимаются UDP пакеты на 514 портsun# sockstat | grep 514
root syslogd 1810 4 udp4 *:514 *:*
sun# Но вот фишка неясная
Logging to FILE /var/log/security
logmsg: pri 156, flags 16, from sun, msg ipfw: 4402 Accept UDP 213.221.1.161:6811 213.221.1.162:514 in via dc0 <Пакет прошел фаерволл> А что далее? Logging to FILE /var/log/security
cvthname(213.221.1.161)
Host name for your address (213.221.1.161) unknown <Имя не известно, это не критично> validate: dgram from IP 213.221.1.161, port 6811, name 213.221.1.161;
rejected in rule 0 due to port mismatch. А ЭТО ЧТО ???
- syslogd, LinaS, 10:49 , 22-Июл-03 (4)
>validate: dgram from IP 213.221.1.161, port 6811, name 213.221.1.161;
>rejected in rule 0 due to port mismatch.
>
>А ЭТО ЧТО ??? а
есть такое дело ;) он вроде ожидает, что ему хост 213.221.1.161 будет _с_ 514 порта логи слать
а она шлет с верхних
я запускаю так: linas@wall:~> ps axww| grep syslogd
19006 ?? Ss 1:20.24 syslogd -f /usr/local/etc/syslog.conf -a 212.176.219.1:* * в конце - с любого порта брать
типа так
- syslogd, A Clockwork Orange, 10:57 , 22-Июл-03 (5)
Пробовал я такое ужеsun# syslogd -a 213.221.1.161:*
syslogd: No match.
sun# syslogd -a213.221.1.161:*
syslogd: No match.
sun#
- syslogd, LinaS, 10:59 , 22-Июл-03 (6)
>Пробовал я такое уже
>
>sun# syslogd -a 213.221.1.161:*
>syslogd: No match.
>sun# syslogd -a213.221.1.161:*
>syslogd: No match.
>sun#
а экранировать кто будет? ;)
syslogd -a 213.221.1.161:\*
- syslogd, lavr, 11:25 , 22-Июл-03 (7)
>>Пробовал я такое уже
>>
>>sun# syslogd -a 213.221.1.161:*
>>syslogd: No match.
>>sun# syslogd -a213.221.1.161:*
>>syslogd: No match.
>>sun#
>
>
>а экранировать кто будет? ;)
>syslogd -a 213.221.1.161:\* ты знала ;) обычно step-by-step выглядит так: 1) редактируем syslog.conf syslog.conf:
...
# facility must be equal on both systems: localX or something else
local6.* /var/log/cisco.log
... 2) создаем cisco.log # touch /var/log/cisco.log
# chown/chmod /var/log/cisco.log 3) активируем новую конфигурацию # kill -HUP `cat /var/run/syslog.pid` запуск syslogd: # /usr/sbin/syslogd -a ip.add.re.ss/mask:\* 4) tail -f /var/log/cisco.log если ничего не появляется, заменяем local6.* на *.* и смотрим дальше Cisco IOS(например): # logging facility local6
# logging source-interface Ethernet0
# logging ip.add.re.ss покатит?
- syslogd, A Clockwork Orange, 11:28 , 22-Июл-03 (8)
Лавр спасибо, все это сделал.
Лина была права... всего лишь экранировать.
- syslogd, lavr, 12:26 , 22-Июл-03 (9)
>Лавр спасибо, все это сделал.
>Лина была права... всего лишь экранировать. прим: если syslogd запускается с -a и без маски, она by default будет /24,
на всякий случай, и на другой всякий случай, интуиция подсказывает что прописывание в /etc/rc.conf будет достаточно без экранирования. pps. Мб кто-то попробует с /etc/rc.conf и подтвердит или опровергнет, мне
не хочется лезть в cisco и перегружать свою машину.
- syslogd, LinaS, 12:39 , 22-Июл-03 (10)
>>Лавр спасибо, все это сделал.
>>Лина была права... всего лишь экранировать.
>
>прим: если syslogd запускается с -a и без маски, она by default
>будет /24,
>на всякий случай, и на другой всякий случай, интуиция подсказывает что прописывание
>в /etc/rc.conf будет достаточно без экранирования.
>
>pps. Мб кто-то попробует с /etc/rc.conf и подтвердит или опровергнет, мне
>не хочется лезть в cisco и перегружать свою машину. абсолютно точно - в rc.conf без экранирования
мало того, с экранированием (я так в первый раз с разбегу сделала) - вроде даже будет ошибка и syslogd не стартанет
будьте внимательны, господа
- syslogd, A Clockwork Orange, 12:48 , 22-Июл-03 (11)
>>Лавр спасибо, все это сделал.
>>Лина была права... всего лишь экранировать.
>
>прим: если syslogd запускается с -a и без маски, она by default
>будет /24,
>на всякий случай, и на другой всякий случай, интуиция подсказывает что прописывание
>в /etc/rc.conf будет достаточно без экранирования. Не то что достаточно а обязяательно без экранирования sun# grep syslogd /etc/rc.conf
syslogd_enable="YES"
syslogd_flags="-a 213.221.1.161:* -a 213.221.1.165:*" иначе ругается >
>pps. Мб кто-то попробует с /etc/rc.conf и подтвердит или опровергнет, мне
>не хочется лезть в cisco и перегружать свою машину.
|
Версия для распечатки
syslogd, 
