syslog und Linuy

SNMP, Telnet, Syslog, Statustools, RTools, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Beitragvon maahnman » Mi 07.04.2004 - 11:35

Ich will die Firewall meines 2200WE via syslog beobachten, indem ich es an einen Suse 9 Server weiterleite. Im Prinzip funktioniert alles auch wunderbar, nur hat die Sache einen Haken:

Als facility benutzt er local0 bis local5, wobei er alles als INFO markiert, anderes kennt er nicht... Auf local0 protokolliert er die Firewall, auf local2 leider jeden Verbindungsauf und -abbau. Dies bedeutet, dass meien logdateien nach kurzer zeit überquellen. local2 brauche ich jedoch ab und zu für meinen server, abstellen kann ich local2 deshalb nicht. Ich muss also syslog beibringen, dass es zwischen logs vom eigenen Server und logs von außen unterscheidet.

Kann man das irgendwie lösen ohne auf syslog-ng zu gehen?

Habe in den man-pages keine hinweise gefunden.

mfg max
maahnman
Grünschnabel
 
Beiträge: 5
Registriert: So 09.06.2002 - 19:40

Beitragvon Gargamel » Mi 07.04.2004 - 13:01

Aloha,
ich glaube, eine Unterscheidung zwischen 'externen' und 'internen' syslog-messages ist im Standard-Syslogd nich möglich.
Was "spricht" denn bei Dir gelegentlich auf local2? Kannst Du dem Daemon/Server/Programm nicht beibringen, auf einer anderen local-facility zu senden? Ich hatte das Problem mit meinem Vigor und einem OpenLDAP-Server - der quatscht standardmässig auf local4, und da landen auch die Vigor-WAN-messages.
Das ganze liess sich aber über einen command-line-switch für den slapd lösen, jetzt spricht er auf local7 :)
Alternativ kannst Du natürlich deine Log-Files schön regelmässig durch logrotate schicken und packen lassen, dann hält sich die Grösse auch in Grenzen...

Viel Erfolg & hab' Spass,
Nico
Benutzeravatar
Gargamel
Power-User
 
Beiträge: 112
Registriert: So 29.04.2001 - 23:59

Beitragvon rowitech » Di 15.06.2004 - 08:49

In /etc/syslog.conf kannst Du alles ganz genau definieren:

# Vigor
local1.* -/var/log/local1
local2.* -/var/log/local2
local3.* -/var/log/local3
local4.* -/var/log/local4
local5.* -/var/log/local5
local6.* -/var/log/local6
local7.* -/var/log/local7

Nimm local2.* einfach aus allem heraus und gut ist. Ansonsten kannst Du local2 ja immer noch auf /dev/null schicken, dann erzeugt das auch keine Logs (bei mir kommt ansonsten dort nichts an).

Gruss,
Rolf
rowitech
User
 
Beiträge: 21
Registriert: Mi 10.09.2003 - 07:48
Wohnort: Köln


Zurück zu Tools und Fernwartung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste