Здравствуйте
имеется проблема по сбору логов на Syslog-ng установленый на Ubuntu
с каталиста C3750 причем сислог настроен правильно то есть с других свичей все логи собира
раються , например со свичей huawei и тд .
Сервер пингуется со свича бес проблем , фаервола нет те все порты открыты до сервера
,сам сислог настроен как под udp так и под tcp.
вот версия ios со свича:
Cisco IOS Software, C3750 Software (C3750-IPSERVICES-M), Version 12.2(35)SE5, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Thu 19-Jul-07 19:15 by nachen
Image text-base: 0x00003000, data-base: 0x01280000ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(25r)SEE4, RELEASE SOFTWARE (fc1)Uptime is 11 weeks, 8 hours, 1 minute
System returned to ROM by power-on
System image file is "flash:c3750-ipservices-mz.122-35.SE5/c3750-ipservices-mz.122-35.SE5.bin"cisco WS-C3750G-48TS (PowerPC405) processor (revision C0) with 118784K/12280K bytes of memory.
Processor board ID FCZ12284HBQ
Last reset from power-on
6 Virtual Ethernet interfaces
52 Gigabit Ethernet interfaces######################
вот настройка на свиче :
#show run
Building configuration...Current configuration : 7419 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
!
hostname xxxxxx
!
logging buffered 16384 debugging
no logging console
!
logging trap notifications
logging 10.46.1.20
!
control-plane
!
!может кто сталкивался ?? подскажет ?
А tcpdump видит пакетеги с этой цызки?
>А tcpdump видит пакетеги с этой цызки?tcpdump видит пакеты да и фильтрации нет точно
так же по поводу source interface все в порядке все пакеты проходят на ура
и от лупбека и от влан интерфейса
>[оверквотинг удален]
>no logging console
>!
>logging trap notifications
>logging 10.46.1.20
>!
>control-plane
>!
>!
>
>может кто сталкивался ?? подскажет ?ip logging source interface ?
>Здравствуйте
>имеется проблема по сбору логов на Syslog-ng установленый на Ubuntu
>с каталиста C3750 причем сислог настроен правильно то есть с других свичей
>все логи собираються.Господа! Столкнулся с такой же проблемой! Побывав на буржуйских форумах ознакомившись с их проблемами из их разговоров понял что команды logging xxx.yyy.zzz.aaa вполне достаточно... Так же имееть хуавеевское оборудование в сети которое прекрасно отсылает логи на сервер... Сислог-нг их фильтрует и раскидывает по файликам.. Я в этом деле новичок и с этой проблемой мучаюсь уже с неделю. Если кто знает выход прошу наставить меня на путь истинный! Заранее спасибо!
От цызки пакетеги ушли, так что проблема на стороне линукса. Так что, лучше в ветку линукса писать. Ну или настройки сислога покажите и с какими ключегами его запускаете.
>От цызки пакетеги ушли, так что проблема на стороне линукса. Так что,
>лучше в ветку линукса писать. Ну или настройки сислога покажите и
>с какими ключегами его запускаете.en
conf t
loggin on
exit
wr
>>От цызки пакетеги ушли, так что проблема на стороне линукса. Так что,
>>лучше в ветку линукса писать. Ну или настройки сислога покажите и
>>с какими ключегами его запускаете.Решил все же потратить немного времени. Не знаю нужно еще кому или нет:
Описания для Debian | Ubuntu.
На самой железке:
# На сколько подробно лить
logging trap debugging#С какого интерфейса отправлять логи
logging source-interface интерфейс#Куда слать логи
logging 192.168.1.10#Включает отсылку
logging on
В конце конфига /etc/syslog-ng.confsource net { udp(ip(0.0.0.0) port(514)); }; #0.0.0.0 will allow all hosts to send their logs to your host.
#
destination d_cisco { file("/var/log/cisco.log"); };
destination d_cisco_info { file("/var/log/cisco.info.log"); };
destination d_cisco_notice { file("/var/log/cisco.notice.log"); };
destination d_cisco_warn { file("/var/log/cisco.warn.log"); };
destination d_cisco_crit { file("/var/log/cisco.crit.log"); };
destination d_cisco_err { file("/var/log/cisco.err.log"); };
destination d_cisco_debug { file("/var/log/cisco.debug.log"); };
#
# Фильтры вибирающие из потока данных нужные левелы.
filter f_cisco_info { level(info); };
filter f_cisco_notice { level(notice); };
filter f_cisco_warn { level(warn); };
filter f_cisco_crit { level(crit); };
filter f_cisco_err { level(err); };
filter f_cisco_debug { level(debug); };
#
# Пишем логи по левелам отдельно
log { source(net); filter(f_cisco_info); destination(d_cisco_info); };
log { source(net); filter(f_cisco_notice); destination(d_cisco_notice); };
log { source(net); filter(f_cisco_warn); destination(d_cisco_warn); };
log { source(net); filter(f_cisco_crit); destination(d_cisco_crit); };
log { source(net); filter(f_cisco_err); destination(d_cisco_err); };
log { source(net); filter(f_cisco_debug); destination(d_cisco_debug); };
# Пишем все левелы кучей
log { source(net); filter(f_cisco_info); destination(d_cisco); };
log { source(net); filter(f_cisco_notice); destination(d_cisco); };
log { source(net); filter(f_cisco_warn); destination(d_cisco); };
log { source(net); filter(f_cisco_crit); destination(d_cisco); };
log { source(net); filter(f_cisco_err); destination(d_cisco); };
log { source(net); filter(f_cisco_debug); destination(d_cisco); };
P.S. Syslog-ng очень развернутая и понятная документация.Можно фильтров по source ip вот так:
#Куда писать.
destination d_router { file("/var/log/cisco/router.log"); };
#Откуда прелетело, то что нужно писать. Адрес железки с которой летят логи.
#Адрес смотреть на интерфесе указаном logging source-interface интерфейс
filter f_cisco_router { netmask("192.168.1.1/255.255.255.255"); };
#Сам процесс записи описывающий что и куда писать.
log { source(net); filter(f_cisco_router); destination(d_router); };