rsyslog - kein hostname / keine IP

[tobiasd]

Hi,

mein Server soll künftig als zentraler Log-Server dienen. Die Logfile-Einträge der Remote hosts treffen auch schon ein. Seltsamerweise bekomme ich von meinen Netgear Switchen (GS108T) nur Einträge ohne Hostname / IP davor stehen. Der Name für das Gerät ist konfiguriert. Bsp von einem Fehlerhaften Login auf der Weboberfläche des Switches.:

May 16 09:00:51 DEBUG - HTTPD: Page login.cgi accessed from 192.168.xxx.170

Nachrichten von anderen Rechner kommen wie gewünscht mit dem Hostnamen in den Syslog:

May 16 09:03:18 pcname postfix/smtpd[21410]: setting up TLS connection from ....

In meinem Loganalyzer (Weboberfläche) filter ich atm alle hosts in eine eigene Tabelle. Mit den Switches ist das so allerdings nicht machbar . Hat jemand eine Idee wie ich die Hostnames in den Syslog kriege? Hier ist noch meine /etc/rsyslog.conf

Code: Alles auswählen

#  /etc/rsyslog.conf    Configuration file for rsyslog.
#
#                       For more information see
#                       /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html


#################
#### MODULES ####
#################

$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
$ModLoad immark  # provides --MARK-- message capability

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf


###############
#### RULES ####
###############

#
# First some standard log files.  Log by facility.
#
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
#cron.*                         /var/log/cron.log
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
lpr.*                           -/var/log/lpr.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info                       -/var/log/mail.info
mail.warn                       -/var/log/mail.warn
mail.err                        /var/log/mail.err

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info                       -/var/log/mail.info
mail.warn                       -/var/log/mail.warn
mail.err                        /var/log/mail.err

#
# Logging for INN news system.
#
news.crit                       /var/log/news/news.crit
news.err                        /var/log/news/news.err
news.notice                     -/var/log/news/news.notice

#
# Some "catch-all" log files.
#
*.=debug;\
       auth,authpriv.none;\
       news.none;mail.none     -/var/log/debug
*.=info;*.=notice;*.=warn;\
        auth,authpriv.none;\
        cron,daemon.none;\
        mail,news.none          -/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg                         *

#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
daemon,mail.*;\
       news.=crit;news.=err;news.=notice;\
       *.=debug;*.=info;\
       *.=notice;*.=warn       /dev/tty8

# The named pipe /dev/xconsole is for the `xconsole' utility.  To use it,
# you must invoke `xconsole' with the `-file' option:
#
#    $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
#      busy site..
#
daemon.*;mail.*;\
       news.err;\
       *.=debug;*.=info;\
       *.=notice;*.=warn       |/dev/xconsole
#*.*    >localhost,Syslog,rsyslog,Passwort

$template rechnerxy,"insert into rechnerxy (Message, Facility, FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%HOSTNAME%', %syslogpriority%, '%timereported:::date-mysql%', , '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')",SQL

if ($source contains 'rechnerxy') then :ommysql:127.0.0.1,Syslog,rsyslog,Passwort;rechnerxy

und /etc/default/rsyslog:

Code: Alles auswählen

RSYSLOGD_OPTIONS="-cr4"

Grüße & vielen Dank

Tobias

[unitra]

Ich vermute die Netgear Switch loggen nicht RFC konform.
Du könntest mal einen tcpdump laufen lassen auf dem Syslogserver auf port 514 und schauen wie die messages am Syslog ankommen.
Bzw. die messages von deinen switchen müssten auf im /var/log/messages landen, man kann sie aus mit dem "Normalen" Syslogmessages vergleichen.

Du kannst dann mit regexp die Meldungen so umschreiben dass Sie die DB reinpassen, mit Hostname usw.

http://www.rsyslog.com/regex/
http://www.rsyslog.com/doc/property_replacer.html

[tobiasd]

danke für deine schnelle Antwort! In /var/log/messages stehen leider auch nicht mehr Informationen. Ich hab mit tcpdump folgendes auslesen können:

<191>DEBUG - HTTPD: Page login.cgi accessed from 192.168.xxx.170

vor <191> standen noch einige kryptische Zeichen(header..?^^).

Wenn ich das alles richtig verstanden habe, ist meine einzigste Möglichkeit das Filtern nach "DEBUG" usw. ?

[unitra]

Ich habe hier auch noch einen RP-114 SOHO Router Switch hier stehen. Da habe ich die Konfiguration für Syslog nicht hinbekommen. Alles ist richtig eingestellt aber, es kommen kein Messages am Syslog an.

Im lokalen Syslog sieht das so aus auf dem RP-114.

Code: Alles auswählen

...
  60 Sun May 15 20:41:14 2011 PP12  INFO  Adjust time to 4dd03a6a
  61 Sun May 15 20:41:14 2011 PP12  INFO  adjtime task pause 1 day
  62 Mon May 16 15:00:44 2011 PP0c  INFO  SMT Password pass
  63 Mon May 16 15:00:44 2011 PINI  INFO  SMT Session Begin

Und möchte man Syslog testen bei mir gibt es eine nützlich Funktion heisst "Triggering Packet"
Leider kommt da dann auch eine Fehlermeldung die hieße:

Code: Alles auswählen

Call-Triggering Packet is not available.

Ich habe es Irgendwann sein lassen mit dem Netgear RP-114, weil es nicht funktioniert.
Dafür laufen alle anderen Geräte (Router, Switch und Firewall) ohne Probleme (nicht von Netgear)

Syslog Konfiguration auf einem Endgerät, beim laufenden Server, dauert maximal 2 Minuten bei guter Hardware. Wenn es auf Anhieb nicht klappt, ärgere Dich nicht damit rum, kaufe beim nächste Mal beim anderen Hersteller. Es gibt auch keinen guten Support seitens Netgear, weder "Whitepaper" noch irgendwelche Troubleshooting Tips.

Ich möchte Netgear nicht durch den Dreck ziehen, die haben sicherlich auch gute Produkte.

[rendegast]

und /etc/default/rsyslog:

Code: Alles auswählen

    RSYSLOGD_OPTIONS="-cr4"

Sollte das nicht

Code: Alles auswählen

    RSYSLOGD_OPTIONS="-c4"

Eventuell läuft der Problemhost mit einer älteren Version und zBsp. '-c3' kann abhelfen?

[tobiasd]

-c3 hat leider auch nicht geholfen. Liegt wohl wirklich an den Netgear Geräten die den Log ohne Namen / IP senden..