debian als syslog server konfigurieren

ccc · Beitrag von **ccc** » 16.06.2006 11:43:27

hallo

möchte meinen debian sarge stable als einen syslog server für den spam appliance einrichten.
in /etc/syslog.conf habe folgenden eintrag:

Code: Alles auswählen

local7.*           -/var/log/spam/messages

es reicht aber nicht.

in /etc/rc2.d/S10sysklogd habe was gefunden:

Code: Alles auswählen

#   For remote UDP logging use SYSLOGD="-r"

aber dort habe ich schon folgendes für den DNS server eingetragen:

Code: Alles auswählen

SYSLOGD="-a /var/lib/named/dev/log"

zusätzlicher eintrag:

Code: Alles auswählen

SYSLOGD="-r -a /var/log/spam/messages"

hilft leider nicht.

Pischti · Beitrag von **Pischti** » 16.06.2006 15:58:01

nur so als anregung, vesruch mal den syslog-ng. der kann ne ganze menge mehr und hat auch eine (finde ich) bessere syntax in der config ...

http://www.balabit.com/products/syslog_ng/

rendegast · Beitrag von **rendegast** » 16.06.2006 23:02:30

Hallo,

-a /var/log/spam/messages

erscheint mir unsinnig, ausser /var/log/spam/messages wäre irgendein Socket, durch den etwas gemeldet wird.
'-r' wäre der richtige Parameter.

Öffnet der sysklogd seinen Port ('netstat -tpaun') ?
Hast Du der Appliance gesagt, wohin Sie senden soll?
Kommt etwas auf der Log-Maschine an ('iptables -I ... -j LOG -p udp --dport 514')
wird in der /etc/syslog.conf gefiltert ('*.* /var/log/TEST' dort mal zur Probe)?

ccc · Beitrag von **ccc** » 10.07.2006 11:57:49

Öffnet der sysklogd seinen Port ('netstat -tpaun') ?

ja

udp 0 0 0.0.0.0:514 0.0.0.0:* 3860/syslogd

Hast Du der Appliance gesagt, wohin Sie senden soll?

ja

Kommt etwas auf der Log-Maschine an ('iptables -I ... -j LOG -p udp --dport 514')

komme mit diesem befehl nicht so klar:
# iptables -I ... -j LOG -p udp --dport 514
iptables: No chain/target/match by that name

wird in der /etc/syslog.conf gefiltert ('*.* /var/log/TEST' dort mal zur Probe)?

ja

rendegast · Beitrag von **rendegast** » 10.07.2006 17:44:32

komme mit diesem befehl nicht so klar:
# iptables -I ... -j LOG -p udp --dport 514
iptables: No chain/target/match by that name

für das '-I ...' solltest Du entsprechende Chains eintragen:

Code: Alles auswählen

-I INPUT
oder
-t nat -I PREROUTING
usf.

um zu sehen was die Pakete machen.

ccc · Beitrag von **ccc** » 10.07.2006 18:10:20

habe probiert mit:

Code: Alles auswählen

iptables --append INPUT --source 192.168.1.2 --protocol udp --destination-port syslog -j ACCEPT

geht aber immer noch nicht.

rendegast · Beitrag von **rendegast** » 10.07.2006 18:27:48

Deshalb meinte ich ja auch

Code: Alles auswählen

iptables -I INPUT -j LOG -p udp --dport 514 
iptables -t nat -I PREROUTING  -j LOG -p udp --dport 514

um zu sehen, ob überhaupt etwas ankommt.

Dein '--append' fügt an der Regel-Kette hinten an.
Falls es am Portfilter liegt und die Pakete gedropt werden, geschieht das aber schon vorher.

ccc · Beitrag von **ccc** » 11.07.2006 13:53:50

es funktioniert !

es lag an der hardware firewall.
die beiden maschinen stehen in DMZ und trusted.
ich musste den udp port 514 bei der firewall freischalten.

anyway vielen herzlichen dank für ALLE vorschläge !

p.s
meiner meineung nach, syslog_ng sollte nur installiert werden
wenn man nur gewisse features braucht, die syslog nicht hat.

gruss und schönes tägli
ccc

rendegast · Beitrag von **rendegast** » 11.07.2006 15:54:59

syslog_ng sollte nur installiert werden
wenn man nur gewisse features braucht, die syslog nicht hat.

yes, aber zum Einlesen:
http://www.linux-magazin.de/Artikel/aus ... ebuch.html