Syslog-NG Übertragungsproblem

[tricer112]

Hallo liebe Community,

ich habe ein Problem mit der Übertragung von Logeinträgen in eine andere Datei und ich hoffe ihr könnt mir weiterhelfen.

Problem:
Ich möchte die Einträge die von Modsecurity in die modsec_audit.log Datei geschrieben werden, in eine seperate Datei schreiben. Beim Neustart von Syslog-NG schreibt er mir den kompletten Inhalt von modsec_audit.log in die andere Datei. Allerdings syncronisiert er danach, die neuen Einträge nicht mehr weiter und ich weiß nicht warum...

Syslog-NG Version: 2.0.9-4.1
Debian: 5.0.10

syslog-ng.conf:

Code: Alles auswählen

source src_mod_sec { file("/var/log/apache2/modsec_audit.log");};
destination dest_udp { file("/var/log/test.log" template("$MSG\n"));};
log { source(src_mod_sec); destination(dest_udp);};

Habt ihr einen Idee, wo der Fehler liegen könnte?

Viele Grüße

[rendegast]

Habe das mal gerade unter wheezy syslog-ng 3.3.5 nachgestellt,
problemlos.

Vielleicht ist es ein versionsbedingter Bug?

Vielleicht läuft Dein syslog-ng nach dem Start mit anderer Berechtigung als root (zBsp. chroot),
und kann daher nicht mehr die Änderungen der Datei verfolgen? 'top' / 'htop'

Code: Alles auswählen

ls -l /var/log/apache2/modsec_audit.log

lsof | grep modsec_audit.log
ps -C syslog-ng l

[tricer112]

Danke das dachte ich mir auch. Aber der Dienst startet und läuft als Root.

Wenn ich "s_all" verwende also ein Standart Source Block von Syslog-NG dann werden die System Logeinträge in die test.log syncronisiert.

Wenn ich meine Modsec Logdatei in den s_all Block hinzufüge passiert auch nichts.

Bsp:

Code: Alles auswählen

source s_all {
        # message generated by Syslog-NG
        internal();
        # standard Linux log source (this is the default place for the sys$
        # function to send logs to)
        unix-stream("/dev/log");
        # messages from the kernel
        file("/var/log/apache2/modsec_audit.log");
        file("/proc/kmsg" log_prefix("kernel: "));
        # use the following line if you want to receive remote UDP logging$
        # (this is equivalent to the "-r" syslogd flag)
        # udp();
};

Es werden nur die System Einträge syncronisiert nicht mehr nicht weniger...

Villeicht liegt es wirklich an der zu alten Version von Syslog-NG. Allerdings kann ich das System auch nicht auf Squeeze heben...

Wenn jemand noch eine Idee hat nur raus damit

[Colttt]

Nur so aus neugier, warum syslog-ng und nicht debiandtandard rsyslog?

[tricer112]

Ja gibt ein Grund möchte die Logs nachdem alles funktioniert nicht in eine Datei auf dem Localhost schreiben sondern auf einen anderen Server übertragen. Da schon mehrere Server auf diese weise ihre Logs übertragen, möchte ich ungern für den einen Server rsyslog verwenden.

Wenn ich jedoch keine andere Lösung in der nächsten Zeit finde, werde ich es aber mit rsyslog versuchen.
Hast du zufällig eine Beispiel Config die mir zeigt wie ich Logs auf den anderen Server syncen kann?

[tricer112]

So habe es jetzt anderster gelöst. Habe aus den Backports von Lenny Syslog-NG 3 installiert und siehe da es funktioniert auf anhieb.Hätte schon viel früher geupdatet allerdings dachte ich das die Version 3 in den Backports noch nicht vorhanden war. Naja doppelt überprüfen hällt besser.

Eine Sache stört mich allerdings noch. Wenn ich Syslog-NG neustarte überträgt er immer den kompletten Inhalt aus den Log Dateien. Somit habe ich Redundanzen in den Logs. Kann man das mit irgend einer Einstellung unterbinden?