forum.opennet.ru - "syslogd" (11)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"syslogd"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"syslogd"
Сообщение от A Clockwork Orange on 21-Июл-03, 22:09 (MSK)
FreeBSD 4.8 Настроил сислог принимать логи с Cisco. Запускаю syslogd все работает. Запускаю syslogd -a 212.33.12.1 , где адрес - это адрес cisco. Не работает логи не собираются. Как с этим бороться?!
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

syslogd, pLYM0rph, 09:26 , 22-Июл-03, (1)
- syslogd, LinaS, 10:06 , 22-Июл-03, (2)
  - syslogd, A Clockwork Orange, 10:34 , 22-Июл-03, (3)
    - syslogd, LinaS, 10:49 , 22-Июл-03, (4)
      - syslogd, A Clockwork Orange, 10:57 , 22-Июл-03, (5)
        
        syslogd, LinaS, 10:59 , 22-Июл-03, (6)
        
        syslogd, lavr, 11:25 , 22-Июл-03, (7)
        
        syslogd, A Clockwork Orange, 11:28 , 22-Июл-03, (8)
        
        syslogd, lavr, 12:26 , 22-Июл-03, (9)
        
        syslogd, LinaS, 12:39 , 22-Июл-03, (10)
        syslogd, A Clockwork Orange, 12:48 , 22-Июл-03, (11)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "syslogd"

Сообщение от pLYM0rph on 22-Июл-03, 09:26  (MSK)

>FreeBSD 4.8
>Настроил сислог принимать логи с Cisco.
>Запускаю syslogd все работает.
>Запускаю syslogd -a 212.33.12.1 , где адрес - это адрес cisco. Не
>работает логи не собираются.
>Как с этим бороться?!
Такое впечатление что присутствует опция -s (man syslogd)
И посмотри вывод sockstat -4l (присутствует ли в нем 514-й порт?)

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "syslogd"

Сообщение от LinaS on 22-Июл-03, 10:06  (MSK)

>>FreeBSD 4.8
>>Настроил сислог принимать логи с Cisco.
>>Запускаю syslogd все работает.
>>Запускаю syslogd -a 212.33.12.1 , где адрес - это адрес cisco. Не
>>работает логи не собираются.
>>Как с этим бороться?!
>
>Такое впечатление что присутствует опция -s (man syslogd)
>И посмотри вывод sockstat -4l (присутствует ли в нем 514-й порт?)

и файрволлом разрешить
syslogd -d -a 212.33.12.1
в debug mode - и смотришь, доходят ли до него сообщения от Cisco

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "syslogd"

Сообщение от A Clockwork Orange on 22-Июл-03, 10:34  (MSK)

Фаерволом разрешено, у меня логируются все UDP и я вижу в /var/log/security принимаются UDP пакеты на 514 порт
sun# sockstat | grep 514
root     syslogd   1810    4 udp4   *:514                 *:*
sun#
Но вот фишка неясная
Logging to FILE /var/log/security
logmsg: pri 156, flags 16, from sun, msg ipfw: 4402 Accept UDP 213.221.1.161:6811 213.221.1.162:514 in via dc0
<Пакет прошел фаерволл>
А что далее?
Logging to FILE /var/log/security
cvthname(213.221.1.161)
Host name for your address (213.221.1.161) unknown
<Имя не известно, это не критично>
validate: dgram from IP 213.221.1.161, port 6811, name 213.221.1.161;
rejected in rule 0 due to port mismatch.
А ЭТО ЧТО ???

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "syslogd"

Сообщение от LinaS on 22-Июл-03, 10:49  (MSK)

>validate: dgram from IP 213.221.1.161, port 6811, name 213.221.1.161;
>rejected in rule 0 due to port mismatch.
>
>А ЭТО ЧТО ???
а
есть такое дело ;)
он вроде ожидает, что ему хост 213.221.1.161 будет _с_ 514 порта логи слать
а она шлет с верхних
я запускаю так:
linas@wall:~> ps axww| grep syslogd
19006  ??  Ss     1:20.24 syslogd -f /usr/local/etc/syslog.conf -a 212.176.219.1:*
* в конце - с любого порта брать
типа так

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "syslogd"

Сообщение от A Clockwork Orange on 22-Июл-03, 10:57  (MSK)

Пробовал я такое уже
sun# syslogd -a 213.221.1.161:*
syslogd: No match.
sun# syslogd -a213.221.1.161:*
syslogd: No match.
sun#

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "syslogd"

Сообщение от LinaS on 22-Июл-03, 10:59  (MSK)

>Пробовал я такое уже
>
>sun# syslogd -a 213.221.1.161:*
>syslogd: No match.
>sun# syslogd -a213.221.1.161:*
>syslogd: No match.
>sun#

а экранировать кто будет? ;)
syslogd -a 213.221.1.161:\*

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "syslogd"

Сообщение от lavr on 22-Июл-03, 11:25  (MSK)

>>Пробовал я такое уже
>>
>>sun# syslogd -a 213.221.1.161:*
>>syslogd: No match.
>>sun# syslogd -a213.221.1.161:*
>>syslogd: No match.
>>sun#
>
>
>а экранировать кто будет? ;)
>syslogd -a 213.221.1.161:\*
ты знала ;)
обычно step-by-step выглядит так:
1) редактируем syslog.conf
syslog.conf:
...
# facility must be equal on both systems: localX or something else
local6.* /var/log/cisco.log
...
2) создаем cisco.log
# touch /var/log/cisco.log
# chown/chmod /var/log/cisco.log
3) активируем новую конфигурацию
# kill -HUP `cat /var/run/syslog.pid`
запуск syslogd:
# /usr/sbin/syslogd -a ip.add.re.ss/mask:\*
4) tail -f /var/log/cisco.log
если ничего не появляется, заменяем local6.* на *.* и смотрим дальше
Cisco IOS(например):
# logging facility local6
# logging source-interface Ethernet0
# logging ip.add.re.ss
покатит?

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "syslogd"

Сообщение от A Clockwork Orange on 22-Июл-03, 11:28  (MSK)

Лавр спасибо, все это сделал.
Лина была права... всего лишь экранировать.

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "syslogd"

Сообщение от lavr on 22-Июл-03, 12:26  (MSK)

>Лавр спасибо, все это сделал.
>Лина была права... всего лишь экранировать.
прим: если syslogd запускается с -a и без маски, она by default будет /24,
на всякий случай, и на другой всякий случай, интуиция подсказывает что прописывание в /etc/rc.conf будет достаточно без экранирования.
pps. Мб кто-то попробует с /etc/rc.conf и подтвердит или опровергнет, мне
не хочется лезть в cisco и перегружать свою машину.

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "syslogd"

Сообщение от LinaS on 22-Июл-03, 12:39  (MSK)

>>Лавр спасибо, все это сделал.
>>Лина была права... всего лишь экранировать.
>
>прим: если syslogd запускается с -a и без маски, она by default
>будет /24,
>на всякий случай, и на другой всякий случай, интуиция подсказывает что прописывание
>в /etc/rc.conf будет достаточно без экранирования.
>
>pps. Мб кто-то попробует с /etc/rc.conf и подтвердит или опровергнет, мне
>не хочется лезть в cisco и перегружать свою машину.
абсолютно точно - в rc.conf без экранирования
мало того, с экранированием (я так в первый раз с разбегу сделала) - вроде даже будет ошибка и syslogd не стартанет
будьте внимательны, господа

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "syslogd"

Сообщение от A Clockwork Orange on 22-Июл-03, 12:48  (MSK)

>>Лавр спасибо, все это сделал.
>>Лина была права... всего лишь экранировать.
>
>прим: если syslogd запускается с -a и без маски, она by default
>будет /24,
>на всякий случай, и на другой всякий случай, интуиция подсказывает что прописывание
>в /etc/rc.conf будет достаточно без экранирования.
Не то что достаточно а обязяательно без экранирования
sun# grep syslogd /etc/rc.conf
syslogd_enable="YES"
syslogd_flags="-a 213.221.1.161:* -a 213.221.1.165:*"
иначе ругается
>
>pps. Мб кто-то попробует с /etc/rc.conf и подтвердит или опровергнет, мне
>не хочется лезть в cisco и перегружать свою машину.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "syslogd"
Сообщение от pLYM0rph on 22-Июл-03, 09:26 (MSK)
>FreeBSD 4.8 >Настроил сислог принимать логи с Cisco. >Запускаю syslogd все работает. >Запускаю syslogd -a 212.33.12.1 , где адрес - это адрес cisco. Не >работает логи не собираются. >Как с этим бороться?! Такое впечатление что присутствует опция -s (man syslogd) И посмотри вывод sockstat -4l (присутствует ли в нем 514-й порт?)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "syslogd"
	Сообщение от LinaS on 22-Июл-03, 10:06 (MSK)
	>>FreeBSD 4.8 >>Настроил сислог принимать логи с Cisco. >>Запускаю syslogd все работает. >>Запускаю syslogd -a 212.33.12.1 , где адрес - это адрес cisco. Не >>работает логи не собираются. >>Как с этим бороться?! > >Такое впечатление что присутствует опция -s (man syslogd) >И посмотри вывод sockstat -4l (присутствует ли в нем 514-й порт?) и файрволлом разрешить syslogd -d -a 212.33.12.1 в debug mode - и смотришь, доходят ли до него сообщения от Cisco
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "syslogd"
	Сообщение от A Clockwork Orange on 22-Июл-03, 10:34 (MSK)
	Фаерволом разрешено, у меня логируются все UDP и я вижу в /var/log/security принимаются UDP пакеты на 514 порт sun# sockstat \| grep 514 root syslogd 1810 4 udp4 :514 :* sun# Но вот фишка неясная Logging to FILE /var/log/security logmsg: pri 156, flags 16, from sun, msg ipfw: 4402 Accept UDP 213.221.1.161:6811 213.221.1.162:514 in via dc0 <Пакет прошел фаерволл> А что далее? Logging to FILE /var/log/security cvthname(213.221.1.161) Host name for your address (213.221.1.161) unknown <Имя не известно, это не критично> validate: dgram from IP 213.221.1.161, port 6811, name 213.221.1.161; rejected in rule 0 due to port mismatch. А ЭТО ЧТО ???
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "syslogd"
	Сообщение от LinaS on 22-Июл-03, 10:49 (MSK)
	>validate: dgram from IP 213.221.1.161, port 6811, name 213.221.1.161; >rejected in rule 0 due to port mismatch. > >А ЭТО ЧТО ??? а есть такое дело ;) он вроде ожидает, что ему хост 213.221.1.161 будет _с_ 514 порта логи слать а она шлет с верхних я запускаю так: linas@wall:~> ps axww\| grep syslogd 19006 ?? Ss 1:20.24 syslogd -f /usr/local/etc/syslog.conf -a 212.176.219.1:* * в конце - с любого порта брать типа так
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "syslogd"
	Сообщение от A Clockwork Orange on 22-Июл-03, 10:57 (MSK)
	Пробовал я такое уже sun# syslogd -a 213.221.1.161:* syslogd: No match. sun# syslogd -a213.221.1.161:* syslogd: No match. sun#
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "syslogd"
	Сообщение от LinaS on 22-Июл-03, 10:59 (MSK)
	>Пробовал я такое уже > >sun# syslogd -a 213.221.1.161:* >syslogd: No match. >sun# syslogd -a213.221.1.161:* >syslogd: No match. >sun# а экранировать кто будет? ;) syslogd -a 213.221.1.161:\*
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "syslogd"
	Сообщение от lavr on 22-Июл-03, 11:25 (MSK)
	>>Пробовал я такое уже >> >>sun# syslogd -a 213.221.1.161:* >>syslogd: No match. >>sun# syslogd -a213.221.1.161:* >>syslogd: No match. >>sun# > > >а экранировать кто будет? ;) >syslogd -a 213.221.1.161:\* ты знала ;) обычно step-by-step выглядит так: 1) редактируем syslog.conf syslog.conf: ... # facility must be equal on both systems: localX or something else local6.* /var/log/cisco.log ... 2) создаем cisco.log # touch /var/log/cisco.log # chown/chmod /var/log/cisco.log 3) активируем новую конфигурацию # kill -HUP `cat /var/run/syslog.pid` запуск syslogd: # /usr/sbin/syslogd -a ip.add.re.ss/mask:\* 4) tail -f /var/log/cisco.log если ничего не появляется, заменяем local6.* на . и смотрим дальше Cisco IOS(например): # logging facility local6 # logging source-interface Ethernet0 # logging ip.add.re.ss покатит?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "syslogd"
	Сообщение от A Clockwork Orange on 22-Июл-03, 11:28 (MSK)
	Лавр спасибо, все это сделал. Лина была права... всего лишь экранировать.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "syslogd"
	Сообщение от lavr on 22-Июл-03, 12:26 (MSK)
	>Лавр спасибо, все это сделал. >Лина была права... всего лишь экранировать. прим: если syslogd запускается с -a и без маски, она by default будет /24, на всякий случай, и на другой всякий случай, интуиция подсказывает что прописывание в /etc/rc.conf будет достаточно без экранирования. pps. Мб кто-то попробует с /etc/rc.conf и подтвердит или опровергнет, мне не хочется лезть в cisco и перегружать свою машину.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "syslogd"
	Сообщение от LinaS on 22-Июл-03, 12:39 (MSK)
	>>Лавр спасибо, все это сделал. >>Лина была права... всего лишь экранировать. > >прим: если syslogd запускается с -a и без маски, она by default >будет /24, >на всякий случай, и на другой всякий случай, интуиция подсказывает что прописывание >в /etc/rc.conf будет достаточно без экранирования. > >pps. Мб кто-то попробует с /etc/rc.conf и подтвердит или опровергнет, мне >не хочется лезть в cisco и перегружать свою машину. абсолютно точно - в rc.conf без экранирования мало того, с экранированием (я так в первый раз с разбегу сделала) - вроде даже будет ошибка и syslogd не стартанет будьте внимательны, господа
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "syslogd"
	Сообщение от A Clockwork Orange on 22-Июл-03, 12:48 (MSK)
	>>Лавр спасибо, все это сделал. >>Лина была права... всего лишь экранировать. > >прим: если syslogd запускается с -a и без маски, она by default >будет /24, >на всякий случай, и на другой всякий случай, интуиция подсказывает что прописывание >в /etc/rc.conf будет достаточно без экранирования. Не то что достаточно а обязяательно без экранирования sun# grep syslogd /etc/rc.conf syslogd_enable="YES" syslogd_flags="-a 213.221.1.161:* -a 213.221.1.165:*" иначе ругается > >pps. Мб кто-то попробует с /etc/rc.conf и подтвердит или опровергнет, мне >не хочется лезть в cisco и перегружать свою машину.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх