- PR -

syslog-ng

«前のページへ 1|2
投稿者投稿内容
めぐ
ベテラン
会議室デビュー日: 2004/11/09
投稿数: 86
お住まい・勤務地: 千葉県内
投稿日時: 2004-11-25 18:11
わっしょいさん

差し支えない範囲で、catalystでの
show logging
の出力を見せてください。

あと、確実にcatalystのメッセージが出力されていることは
確認されてますよね?
consoleとtrapのloggin levelをあわせて、コンソールに
ログが出力されていれば大丈夫ですね。
logginh level 7だから出てるとは思いますが。

それと、ネットワーク構成はどうなってるんですか?
catalystとsyslogサーバとは直接繋がっているんでしょうか?


[ メッセージ編集済み 編集者: めぐ 編集日時 2004-11-25 19:53 ]
komey
ベテラン
会議室デビュー日: 2003/11/27
投稿数: 76
投稿日時: 2004-11-25 19:45
問題ないとは思いますが、一応、pingが通ることとフィルターがかかっていないことを確認してみてください。
わっしょい
会議室デビュー日: 2004/11/23
投稿数: 5
投稿日時: 2004-11-26 00:32
めぐさん、komeyさん

いつもありがとうございます。
今日、catalystでうまく受信ができました!!ありがとうございます。
原因なのですが、これもまた事前にお話していなくて申し訳ないのですが、
設定でファイヤーフォールのログも設定していて(これはうまくいっていたのですが)
この設定をはずす事によりうまく、catalystのログを受信できるようになりました。
ですがかわりにファイヤーフォールのログが受信できなくなり根本的な解決
にはなっていなく困っています。

めぐさん
catalystのshow loggingの値と簡単ですがネットワーク構成
とファイヤーフォールのsyslog-ngでの設定を書きます。

■catalystのshow loggingの値
#show logging
Syslog logging:enabled
(0 messages dropped, 0 messages rate-limited, 0 flushes,0 overruns)
Console logging: level debugging, 489 messages logged
Monitor logging: level debugging, 0 messages logged
Buffer logging: level debugging, 489 messages logged
Exception Logging: size (4096 bytes)
File logging: disabled
Trap logging: level debugging, 425 message lines logged
Logging to syslog-ngのIPアドレス, 129 message lines logged

■ネットワーク構成

# FW #---------#catalyst#-----#syslog-ng#


■今回設定していたsyslog-ngでのファイヤーフォールの設定
source s_fw_mesg\
{ unix-dgram("/var/run/log2"); internal(); udp(); };

destination d_fw_mesg\
{ file("/var/log/fw_messages"); };

filter f_fw_mesg\
{ not facility(local0) and level(debug); };

log { source(s_fw_mesg); filter(f_fw_mesg);\
destination(d_fw_mesg); };

komeyさん
現状ではcatalyst、syslog-ngサーバ上でフィルターの
設定は何もしておりません。
pingの疎通の確認ができます。
めぐ
ベテラン
会議室デビュー日: 2004/11/09
投稿数: 86
お住まい・勤務地: 千葉県内
投稿日時: 2004-11-26 08:45
こんにちは。

件のsyslog-ngについては詳しくありませんが、
気になった点が3つ。

1) source の行は、FW,cisco共通のものだけ書けばいいのではないでしょうか。
514/udpポートは一つしか無いのですから。
syslog-ngはupd()と書くと任意にポート番号を割り当てるらしいので、
source文を2回書くと、最初は514で、次はそれ以外のポートが割り当て
られてたりして。

2) souce内で、unix-dgram("/var/run/log2"); と書かれてますが、お使いのOSは
Linuxではなく、BSD?
止められないUNIXサーバのセキュリティ対策 第9回
を参照すると、OSごとに書き方が違うようですが。確認しました?
ちなみに、止められないUNIXサーバのセキュリティ対策 第10回
も当然読まれてますよね。

3) FWのfilter文で、not facility(local0) とあるんですが、
notが付いてても、local0が受信できてるんですか?
未だにわかりません。

どちらか一方しか受信できない、ということなので、
私的には、(1)が怪しいかなと思ってます。

私ならこう書きますが。
source src { unix-stream("/dev/log"); internal(); udp(); };
destination d_fw_mesg { file("/var/log/fw_messages"); };
destination d_cisco_mesg { file("/var/log/cisco_messages"); };
filter f_fw_mesg { facility(local0) and level(debug); };
filter f_cisco_mesg { facility(local3) and level(debug); };
log { source(src); filter(f_fw_mesg); destination(d_fw_mesg); };
log { source(src); filter(f_cisco_mesg); destination(d_cisco_mesg); };

source文がこの2つにしか参照されていないのであれば、
source src {udp()}; でいいのかも。


[ メッセージ編集済み 編集者: めぐ 編集日時 2004-11-26 08:48 ]
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)