Ich habe DMZ-Hosts, die an ein DMZ-Syslog weiterleiten, das wiederum alle Syslog-Nachrichten an einen internen Syslog-Server weiterleitet. Es funktioniert größtenteils einwandfrei, aber die internen Syslog-Hostnachrichten scheinen alle aus dem DMZ-Syslog zu stammen, dh es verliert die ursprünglichen Hostnamen.
{Hosts} -> {DMZ-Syslog: openbsd: syslog v 1.17} -> {Internes Syslog: rsyslog v3}
Wie kann ich die Hostnamen beibehalten?
Vielen Dank!
Persönlich würde ich empfehlen, syslog-ng für Ihren internen Server zu verwenden - es bietet viel mehr als rsyslog. Von besonderem Interesse für Ihren Fall ist, dass die Hostnamen viel besser verwaltet / umgeschrieben / usw. werden.
Wenn Sie sich für rsyslog entscheiden, werden bei dieser Konfiguration sowohl die Remote- als auch die lokalen Hostnamen beibehalten. Dies habe ich vor dem Wechsel zu syslog-ng verwendet.
$ModLoad imuxsock.so
$ModLoad imklog.so
$ModLoad imudp.so
$UDPServerRun 514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg *
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
Ich habe auch die "-c 4" -Optionen in meinem Init-Skript verwendet, wenn es darauf ankommt.
Konfigurieren Sie /etc/rsyslog.conf, um den vollqualifizierten Domänennamen beizubehalten: $PreserveFQDN on
Wenn Sie die Syslog-Nachricht an netcat weiterleiten, wird der Hostname hinzugefügt.
Eine einfache Möglichkeit besteht darin, Nachrichten mit netcat (nc) in der Datei syslog.conf wie folgt weiterzuleiten:
. "TAB" | nc RemoteLogServer -u 514 -w 1 "
Vor dem Pipe-Symbol muss ein TAB-Zeichen eingefügt werden.
quelle