這幾天在研究如何使用syslog去收集server及設備的log
測試環境如下:
centos 6.5 (rsyslog server): 192.168.2.25, 192.168.218.129
linux mint (client): 192.168.2.32
windows 7 (client): 192.168.2.5
GNS3 ASA 8.4.2 (client): 192.168.218.135
(client端都是VM)
防火牆跟SElinux還有防毒都全關
名稱解析每台都沒問題
server上的rsyslog.conf內有修改的設定是
$Modload imudp.so
$UDPServerrun 514
.
.
.
+mint(hostname)
*.* /var/log/mint.log (其他台是類似設定)
透過wireshark抓封包發現client都有送出syslog往server
但是在server端使用tcpdump只有看到mint這台的資訊有進來
檔案也只有記錄到mint這台
在網路上尋找文章發現另一種設定方式
if $fromhost-ip startswith '192.168.2.5' then /var/log/windows.log
& ~
因為是第一次使用 目前對於+$hostname 及 if這兩種設定方式的不同點還不太懂
換成if這種設定方法在公司測試就可接收到windows及網路設備的log
但是家裡電腦測試又不成功(兩種設定方法都失敗)
一樣是wireshark抓的到封包 但是tcpdump就沒有 進來的也是只有mint
不知道有沒有前輩能指點迷津
可以的話 希望能指點小弟這兩種設定方法的差異性
感謝花您寶貴的時間看完