Добрый день!
Вопрос такого плана:
есть аппаратный firewall который может отправлять свои локи на лог-сервер и есть лог-сервер с поднятым syslog, который должен принимать и выкладывать у себя логи fw.
В syslog.conf прописываю:router.ru
*.* /var/log/router.logВ скрипте запуска /etc/init.d/syslog прописываю:
в место SYSLOGD_OPTIONS="-m 0"
SYSLOGD_OPTIONS="-r"Делаю /etc/init.d/syslod restart
Смотрю логи:
less /var/log/router.log
Aug 7 10:07:57 routerold syslogd 1.4.1: restart.
Авг 7 10:07:57 routerold syslog: запуск syslogd succeeded
Aug 7 10:07:57 routerold kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug 7 10:07:57 routerold kernel: Inspecting /boot/System.map-2.4.9-31smp
Авг 7 10:07:57 routerold syslog: запуск klogd succeeded
Aug 7 10:07:58 routerold kernel: Loaded 15860 symbols from /boot/System.map-2.4.9-31smp.
Aug 7 10:07:58 routerold kernel: Symbols match kernel version 2.4.9.
Aug 7 10:07:58 routerold kernel: Loaded 296 symbols from 15 modules.
Авг 6 17:44:44 routerold syslog: останов syslogd succeeded
Авг 7 10:07:57 routerold syslog: останов syslogd succeeded
Aug 7 10:10:57 routerold kernel: Kernel logging (proc) stopped.
Aug 7 10:10:57 routerold kernel: Kernel log daemon terminating.
Aug 7 10:10:58 routerold exiting on signal 15Но логи с файерволла не ложаться.
Слушаю трафик на интерфейсе лог сервера:
#tcpdump -i eth1 not port 22
10:26:02.621752 router.ru.61797 > 10.4.9.253.syslog: udp 105
10:26:02.621768 10.4.9.253 > router.ru: icmp: 10.4.9.253 udp port syslog unreachable [tos 0xc0]Слушаю трафик на интерфейсе аппаратного firewall'а
10.4.9.254.61776 > 10.4.9.253.514: udp 102
10.4.9.253 10.4.9.254: icmp: 10.4.9.253 udp port 514 unreachable [tos 0xc0]соответственно 10.4.9.254 - аппаратный firewall
10.4.9.253 - log сервер.
Подскажите, в чем засада? И как сделать порт 514 на лог сервере открытым и доступным?
Система на лог-сервере Linux Red Hat 7.2 ядро 2.4.9
Заработало... Странно, после того, как прописал в стартовом скрипте /etc/init.d/syslog вместо строчки SYSLOGD_OPTIONS="-m 0" строчку SYSLOGD_OPTIONS="-r" и перезапустил syslog стартовым скриптом, в процессах syslog висел с параметром -m 0. Остановил процесс и стартовал бинарник /sbin/syslogd -r. Понятно дело, что не правильно, но полсе этого заработало... Как тогда сделать, что бы он из стартового скрипта стартовал с параметром -r?
>Заработало... Странно, после того, как прописал в стартовом скрипте /etc/init.d/syslog вместо строчки
>SYSLOGD_OPTIONS="-m 0" строчку SYSLOGD_OPTIONS="-r" и перезапустил syslog стартовым скриптом,
>в процессах syslog висел с параметром -m 0. Остановил процесс и
>стартовал бинарник /sbin/syslogd -r. Понятно дело, что не правильно, но
>полсе этого заработало... Как тогда сделать, что бы он из стартового
>скрипта стартовал с параметром -r?А систему сложно указать? Тут телепаты сидят! (если б не было под
рукой шляпоподобного дистра - не ответил бы)В общем смотри в /etc/sysconfig/syslog
>[оверквотинг удален]
>>в процессах syslog висел с параметром -m 0. Остановил процесс и
>>стартовал бинарник /sbin/syslogd -r. Понятно дело, что не правильно, но
>>полсе этого заработало... Как тогда сделать, что бы он из стартового
>>скрипта стартовал с параметром -r?
>
>А систему сложно указать? Тут телепаты сидят! (если б не было под
>
>рукой шляпоподобного дистра - не ответил бы)
>
>В общем смотри в /etc/sysconfig/syslogДа, сорри, чего-то я забыл систему указать. Все верно, шапка с ядром 2.4.9. В /etc/sysconfig/syslog ключик прописал, все заработало! Фэнкс!