syslog ip reicht mit `rsyslog` für bestimmte Dateien

Ich habe viele Cisco / JunOS-Router und -Switches, die Protokolle an meinen Debian-Server senden, der diese verwendet rsyslogd.

Wie kann ich konfigurieren rsyslogd, dass diese Router- / Switch-Protokolle basierend auf ihrer Quell-IP-Adresse an eine bestimmte Datei gesendet werden? Ich möchte keine allgemeinen Systemprotokolle mit diesen Einträgen verschmutzen.

Zum Beispiel:

• Alle Router in Chicago (Quell-IP-Block: 172.17.25.0/24) dürfen sich nur anmelden /var/log/net/chicago.log.
• Alle Router in Dallas (Quell-IP-Block 172.17.27.0/24) dürfen sich nur anmelden /var/log/net/dallas.log.
• Löschen Sie alle APF-3-RCV_UNSUPP_MSGNachrichten, ohne sie zu protokollieren
• Senden Sie Protokolle für 172.17.4.4 an eine Datei mit dem Namen /var/log/net/firewall.log
• Leiten Sie Firewall-Protokolle über den UDP-Port 514 an 10.14.12.12 weiter

Schließlich sollten diese Protokolle bis zu 30 Tage lang täglich gedreht und komprimiert werden.

rsyslogd Aufbau

Im /etc/rsyslogd.conf

# provides remote UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# If logging to an NFS mount, use these settings...
#    "OMFileFlushOnTXEnd off" avoids fsync on every write...
#     mount -o hard,rsize=32768,wsize=32768,noacl,noatime,nodiratime -t nfs
$OMFileIOBufferSize 768k
$OMFileAsyncWriting on
$OMFileFlushOnTXEnd off
$OMFileFlushInterval 10
$MainMsgQueueSize 100000


# kill all INTF-FLAP messages...
if $msg contains 'INTF-FLAP' then /dev/null
&~
## Cisco ACS Accounting...
if ($fromhost-ip=='172.17.16.20') and ($programname == 'CSCOacs_TACACS_Accounting') then /var/log/tacacs_acct.log
&~
## CiscoACS 5.4 TACACS Authentication
if ($fromhost-ip=='172.17.16.20') and ($programname == 'CSCOacs_Passed_Authentications') then /var/log/tacacs_auth.log
&~

# Logging for Chicago issues...
if $fromhost-ip startswith '172.17.25' then /var/log/net/chicago.log
& ~
# Logging for Dallas issues...
if $fromhost-ip startswith '172.17.27' then /var/log/net/dallas.log
& ~
# Logging for firewall...
if $fromhost-ip=='172.17.4.4' then @10.14.12.12
if $fromhost-ip=='172.17.4.4' then /var/log/net/firewall.log
& ~

Jeder der &~Einträge verhindert das Durchfallen auf den Rest der rsyslog.confKonfiguration. Daher sehe ich keine Router-Syslog-Einträge in /var/log/messages.

Berühren Sie alle Syslog-Dateien:

• touch /var/log/net/chicago.log
• touch /var/log/net/dallas.log
• touch /var/log/net/firewall.log

Starten Sie neu rsyslogdmit/etc/init.d/rsyslogd restart

Protokollrotation

Im /etc/logrotate.d/rsyslog

/var/log/net/*.log
{
        copytruncate
        rotate 30
        daily
        missingok
        dateext
        notifempty
        delaycompress
        create root 664 root root
        compress
        maxage 31
        sharedscripts
        lastaction
                # RHEL: Use "/sbin/service rsyslog restart"
                # Debian / Ubuntu: Use "invoke-rc.d rsyslog reload > /dev/null"
                invoke-rc.d rsyslog reload > /dev/null
        endscript
}

Außerdem habe ich dies im rsyslog-Wiki gefunden, das als zukünftige Referenz für jemanden dienen könnte.

http://www.rsyslog.com/storing-messages-from-a-remote-system-into-a-specific-file/