URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 75564
[ Назад ]

Исходное сообщение
"централизованный log-сервер"

Отправлено nicks , 07-Авг-07 12:35 
Добрый день!
Вопрос такого плана:
есть аппаратный firewall который может отправлять свои локи на лог-сервер и есть лог-сервер с поднятым syslog, который должен принимать и выкладывать у себя логи fw.
В syslog.conf прописываю:

router.ru
*.*                                             /var/log/router.log

В скрипте запуска  /etc/init.d/syslog прописываю:

в место SYSLOGD_OPTIONS="-m 0"
SYSLOGD_OPTIONS="-r"

Делаю /etc/init.d/syslod restart
Смотрю логи:
less /var/log/router.log
Aug  7 10:07:57 routerold syslogd 1.4.1: restart.
Авг  7 10:07:57 routerold syslog: запуск syslogd succeeded
Aug  7 10:07:57 routerold kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug  7 10:07:57 routerold kernel: Inspecting /boot/System.map-2.4.9-31smp
Авг  7 10:07:57 routerold syslog: запуск klogd succeeded
Aug  7 10:07:58 routerold kernel: Loaded 15860 symbols from /boot/System.map-2.4.9-31smp.
Aug  7 10:07:58 routerold kernel: Symbols match kernel version 2.4.9.
Aug  7 10:07:58 routerold kernel: Loaded 296 symbols from 15 modules.
Авг  6 17:44:44 routerold syslog: останов syslogd succeeded
Авг  7 10:07:57 routerold syslog: останов syslogd succeeded
Aug  7 10:10:57 routerold kernel: Kernel logging (proc) stopped.
Aug  7 10:10:57 routerold kernel: Kernel log daemon terminating.
Aug  7 10:10:58 routerold exiting on signal 15

Но логи с файерволла не ложаться.
Слушаю трафик на интерфейсе лог сервера:
#tcpdump -i eth1 not port 22
10:26:02.621752 router.ru.61797 > 10.4.9.253.syslog:  udp 105
10:26:02.621768 10.4.9.253 > router.ru: icmp: 10.4.9.253 udp port syslog unreachable [tos 0xc0]

Слушаю трафик на интерфейсе аппаратного firewall'а
10.4.9.254.61776 > 10.4.9.253.514: udp 102
10.4.9.253 10.4.9.254: icmp: 10.4.9.253 udp port 514 unreachable [tos 0xc0]

соответственно 10.4.9.254 - аппаратный firewall
               10.4.9.253 - log сервер.
Подскажите, в чем засада? И как сделать порт 514 на лог сервере открытым и доступным?
Система на лог-сервере Linux Red Hat 7.2 ядро  2.4.9    

    


Содержание

Сообщения в этом обсуждении
"централизованный log-сервер"
Отправлено nicks , 07-Авг-07 15:12 
Заработало... Странно, после того, как прописал в стартовом скрипте /etc/init.d/syslog вместо строчки SYSLOGD_OPTIONS="-m 0" строчку SYSLOGD_OPTIONS="-r" и перезапустил syslog   стартовым скриптом, в процессах syslog висел с параметром -m 0. Остановил процесс и стартовал бинарник /sbin/syslogd -r. Понятно дело,  что не правильно, но полсе этого заработало... Как тогда сделать, что бы он из стартового скрипта стартовал с параметром -r?      

"централизованный log-сервер"
Отправлено GloryS , 07-Авг-07 16:25 
>Заработало... Странно, после того, как прописал в стартовом скрипте /etc/init.d/syslog вместо строчки
>SYSLOGD_OPTIONS="-m 0" строчку SYSLOGD_OPTIONS="-r" и перезапустил syslog   стартовым скриптом,
>в процессах syslog висел с параметром -m 0. Остановил процесс и
>стартовал бинарник /sbin/syslogd -r. Понятно дело,  что не правильно, но
>полсе этого заработало... Как тогда сделать, что бы он из стартового
>скрипта стартовал с параметром -r?

А систему сложно указать? Тут телепаты сидят! (если б не было под
рукой шляпоподобного дистра - не ответил бы)

В общем смотри в /etc/sysconfig/syslog


"централизованный log-сервер"
Отправлено nicks , 07-Авг-07 17:02 
>[оверквотинг удален]
>>в процессах syslog висел с параметром -m 0. Остановил процесс и
>>стартовал бинарник /sbin/syslogd -r. Понятно дело,  что не правильно, но
>>полсе этого заработало... Как тогда сделать, что бы он из стартового
>>скрипта стартовал с параметром -r?
>
>А систему сложно указать? Тут телепаты сидят! (если б не было под
>
>рукой шляпоподобного дистра - не ответил бы)
>
>В общем смотри в /etc/sysconfig/syslog

Да, сорри, чего-то я забыл систему указать. Все верно, шапка с ядром 2.4.9. В /etc/sysconfig/syslog ключик прописал, все заработало! Фэнкс!