- syslogd,
pLYM0rph, 09:26 , 22-Июл-03 (1)>FreeBSD 4.8 >Настроил сислог принимать логи с Cisco. >Запускаю syslogd все работает. >Запускаю syslogd -a 212.33.12.1 , где адрес - это адрес cisco. Не >работает логи не собираются. >Как с этим бороться?! Такое впечатление что присутствует опция -s (man syslogd) И посмотри вывод sockstat -4l (присутствует ли в нем 514-й порт?)
- syslogd,
LinaS, 10:06 , 22-Июл-03 (2)>>FreeBSD 4.8 >>Настроил сислог принимать логи с Cisco. >>Запускаю syslogd все работает. >>Запускаю syslogd -a 212.33.12.1 , где адрес - это адрес cisco. Не >>работает логи не собираются. >>Как с этим бороться?! > >Такое впечатление что присутствует опция -s (man syslogd) >И посмотри вывод sockstat -4l (присутствует ли в нем 514-й порт?) и файрволлом разрешить syslogd -d -a 212.33.12.1 в debug mode - и смотришь, доходят ли до него сообщения от Cisco
- syslogd,
A Clockwork Orange, 10:34 , 22-Июл-03 (3)Фаерволом разрешено, у меня логируются все UDP и я вижу в /var/log/security принимаются UDP пакеты на 514 портsun# sockstat | grep 514 root syslogd 1810 4 udp4 *:514 *:* sun# Но вот фишка неясная Logging to FILE /var/log/security logmsg: pri 156, flags 16, from sun, msg ipfw: 4402 Accept UDP 213.221.1.161:6811 213.221.1.162:514 in via dc0 <Пакет прошел фаерволл> А что далее? Logging to FILE /var/log/security cvthname(213.221.1.161) Host name for your address (213.221.1.161) unknown <Имя не известно, это не критично> validate: dgram from IP 213.221.1.161, port 6811, name 213.221.1.161; rejected in rule 0 due to port mismatch. А ЭТО ЧТО ???
- syslogd,
LinaS, 10:49 , 22-Июл-03 (4)>validate: dgram from IP 213.221.1.161, port 6811, name 213.221.1.161; >rejected in rule 0 due to port mismatch. > >А ЭТО ЧТО ??? а есть такое дело ;) он вроде ожидает, что ему хост 213.221.1.161 будет _с_ 514 порта логи слать а она шлет с верхних я запускаю так: linas@wall:~> ps axww| grep syslogd 19006 ?? Ss 1:20.24 syslogd -f /usr/local/etc/syslog.conf -a 212.176.219.1:* * в конце - с любого порта брать типа так
- syslogd,
A Clockwork Orange, 10:57 , 22-Июл-03 (5)Пробовал я такое ужеsun# syslogd -a 213.221.1.161:* syslogd: No match. sun# syslogd -a213.221.1.161:* syslogd: No match. sun#
- syslogd,
LinaS, 10:59 , 22-Июл-03 (6)>Пробовал я такое уже > >sun# syslogd -a 213.221.1.161:* >syslogd: No match. >sun# syslogd -a213.221.1.161:* >syslogd: No match. >sun# а экранировать кто будет? ;) syslogd -a 213.221.1.161:\*
- syslogd,
lavr, 11:25 , 22-Июл-03 (7)>>Пробовал я такое уже >> >>sun# syslogd -a 213.221.1.161:* >>syslogd: No match. >>sun# syslogd -a213.221.1.161:* >>syslogd: No match. >>sun# > > >а экранировать кто будет? ;) >syslogd -a 213.221.1.161:\* ты знала ;) обычно step-by-step выглядит так: 1) редактируем syslog.conf syslog.conf: ... # facility must be equal on both systems: localX or something else local6.* /var/log/cisco.log ... 2) создаем cisco.log # touch /var/log/cisco.log # chown/chmod /var/log/cisco.log 3) активируем новую конфигурацию # kill -HUP `cat /var/run/syslog.pid` запуск syslogd: # /usr/sbin/syslogd -a ip.add.re.ss/mask:\* 4) tail -f /var/log/cisco.log если ничего не появляется, заменяем local6.* на *.* и смотрим дальше Cisco IOS(например): # logging facility local6 # logging source-interface Ethernet0 # logging ip.add.re.ss покатит?
- syslogd,
A Clockwork Orange, 11:28 , 22-Июл-03 (8)Лавр спасибо, все это сделал. Лина была права... всего лишь экранировать.
- syslogd,
lavr, 12:26 , 22-Июл-03 (9)>Лавр спасибо, все это сделал. >Лина была права... всего лишь экранировать. прим: если syslogd запускается с -a и без маски, она by default будет /24, на всякий случай, и на другой всякий случай, интуиция подсказывает что прописывание в /etc/rc.conf будет достаточно без экранирования. pps. Мб кто-то попробует с /etc/rc.conf и подтвердит или опровергнет, мне не хочется лезть в cisco и перегружать свою машину.
- syslogd,
LinaS, 12:39 , 22-Июл-03 (10)>>Лавр спасибо, все это сделал. >>Лина была права... всего лишь экранировать. > >прим: если syslogd запускается с -a и без маски, она by default >будет /24, >на всякий случай, и на другой всякий случай, интуиция подсказывает что прописывание >в /etc/rc.conf будет достаточно без экранирования. > >pps. Мб кто-то попробует с /etc/rc.conf и подтвердит или опровергнет, мне >не хочется лезть в cisco и перегружать свою машину. абсолютно точно - в rc.conf без экранирования мало того, с экранированием (я так в первый раз с разбегу сделала) - вроде даже будет ошибка и syslogd не стартанет будьте внимательны, господа
- syslogd,
A Clockwork Orange, 12:48 , 22-Июл-03 (11)>>Лавр спасибо, все это сделал. >>Лина была права... всего лишь экранировать. > >прим: если syslogd запускается с -a и без маски, она by default >будет /24, >на всякий случай, и на другой всякий случай, интуиция подсказывает что прописывание >в /etc/rc.conf будет достаточно без экранирования. Не то что достаточно а обязяательно без экранирования sun# grep syslogd /etc/rc.conf syslogd_enable="YES" syslogd_flags="-a 213.221.1.161:* -a 213.221.1.165:*" иначе ругается > >pps. Мб кто-то попробует с /etc/rc.conf и подтвердит или опровергнет, мне >не хочется лезть в cisco и перегружать свою машину.
|