Запись syslog на внешний USB-диск с помощю Syslog-ng

[PASPARTU]

2 часа назад, PASPARTU сказал:

Вроде можно ещё фильтры прикрутить.


Отправлено с моего iPhone используя Tapatalk

шото не хотит

[Roman_Petrov]

Что то у вас там неправильно:

нужно лишь вставить строку

destination messages {
        file("/opt/var/log/messages_${SOURCEIP}");

};

Вместо 

destination messages {
        file("/opt/var/log/messages;

};

 

[PASPARTU]

2 минуты назад, Roman_Petrov сказал:

Что то у вас там неправильно:

нужно лишь вставить строку

destination messages {
        file("/opt/var/log/messages_${SOURCEIP}");

};

Вместо 

destination messages {
        file("/opt/var/log/messages;

};

 

Дык, а что я делаю не так?

[Roman_Petrov]

5 минут назад, PASPARTU сказал:

Дык, а что я делаю не так?

Вам нужно изменить только одну строчку, которая отвечает за расположение файла лога, как выше написано. Это вы выше оставили скрин файла конфигурации? Если нет, то скопируйте содержимое сюда для осмотра

[PASPARTU]

Вам нужно изменить только одну строчку, которая отвечает за расположение файла лога, как выше написано. Это вы выше оставили скрин файла конфигурации? Если нет, то скопируйте содержимое сюда для осмотра

Да это скрин конфига


Отправлено с моего iPhone используя Tapatalk

[Roman_Petrov]

Там неправильно тогда, меняйте только одну единственную строчку на другую, как я выше написал. Должно так быть

[PASPARTU]

Только что, Roman_Petrov сказал:

Там неправильно тогда, меняйте только одну единственную строчку на другую, как я выше написал. Должно так быть

@version:3.9

options {
        chain_hostnames(no);
        create_dirs(yes);
        flush_lines(0);
        keep_hostname(yes);
        log_fifo_size(256);
        log_msg_size(1024);
        stats_freq(0);
        flush_lines(0);
        use_fqdn(no);
};

source net {
        udp(ip(192.16.200.200) port(514));
         udp(ip(192.16.200.201) port(514));
};

source kernel {
        file("/proc/kmsg" program_override("kernel"));
};

 destination messages {
        file("/opt/var/log/messages_${SOURCEIP}");

};

log {
#        source(src);
        source(net);
        source(kernel);
        destination(messages);
};

# put any customization files in this directory

 

 

Так?

[Roman_Petrov]

5 минут назад, PASPARTU сказал:

@version:3.9

options {
        chain_hostnames(no);
        create_dirs(yes);
        flush_lines(0);
        keep_hostname(yes);
        log_fifo_size(256);
        log_msg_size(1024);
        stats_freq(0);
        flush_lines(0);
        use_fqdn(no);
};

source net {
        udp(ip(192.16.200.200) port(514));
         udp(ip(192.16.200.201) port(514));
};

source kernel {
        file("/proc/kmsg" program_override("kernel"));
};

destination messages {    file("/opt/var/log/messages_${SOURCEIP}");

};

log {
#        source(src);
        source(net);
        source(kernel);
        destination(messages);
};

# put any customization files in this directory

 

 

Так?

Да, вроде все правильно, только пробелы лишние надо убрать, выше поправил 

[PASPARTU]

3 минуты назад, Roman_Petrov сказал:

Да, вроде все правильно, только пробелы лишние надо убрать, выше поправил 

вообще перестал писать лог

[Roman_Petrov]

Это в файле конфигурации с синтаксисом проблемы. Где то что то осталось. По сути должно работать все, если вы аккуратно замените строку 

file("/opt/var/log/messages;");

На 

file("/opt/var/log/messages_${SOURCEIP}");

 

Не внося больше пробелов и прочих неточностей.

Изменено 17 августа, 2020 пользователем Roman_Petrov

[Roman_Petrov]

Гарантировать на 100% я тоже не могу, пока сам не попробовал. Пока времени нет, скорее всего только на выходных получиться.

[PASPARTU]

1 минуту назад, Roman_Petrov сказал:

Гарантировать на 100% я тоже не могу, пока сам не попробовал. Пока времени нет, скорее всего только на выходных получиться.

походу что то сломалось,буду курить маны на английском

[Roman_Petrov]

2 минуты назад, PASPARTU сказал:

походу что то сломалось,буду курить маны на английском

Попробуйте или снесите и по новой поставтье просто

[PASPARTU]

В 17.08.2020 в 20:24, Roman_Petrov сказал:

Попробуйте или снесите и по новой поставтье просто

Проблема решилась вот так,

};
source net {
        udp(ip(192.168.11.1) port(514)); (роутер с внешним HDD куда все логи пишутся)
};
source kernel {
        file("/proc/kmsg" program_override("kernel"));
};
destination messages {
        file("/opt/var/log//messages_${SOURCEIP}"); ( кому не понятно, сюда IP адресса писать не нужно, просто "messages_"${SOURCEIP");"

 

Потом как время будет попробую разобраться с фильтрами что бы был лог

не messages_IP а LogHOME.LogIrinaRouter.Log OpenVPN.logL2TP. и тд и тп.

если афтор топика сможет сам сделать ман как это привести к более рабочему виду , я буду примного благодарен. в текущем виде это не куда не годится годится. Логи с сервисов и разных игрушек собирать так не удобно.

[Roman_Petrov]

В 19.08.2020 в 18:16, PASPARTU сказал:

Проблема решилась вот так,

};
source net {
        udp(ip(192.168.11.1) port(514)); (роутер с внешним HDD куда все логи пишутся)
};
source kernel {
        file("/proc/kmsg" program_override("kernel"));
};
destination messages {
        file("/opt/var/log//messages_${SOURCEIP}"); ( кому не понятно, сюда IP адресса писать не нужно, просто "messages_"${SOURCEIP");"

Извините за поздний ответ, чтобы мне было легче попробовать и понять, выложите пожалуйста целиком свой файл конфигурации (просто copy-paste), потому что на первый взгляд мне не совсем понятно, что отличается от мною предложенного варианта. Сколько у вас устройств в локальной/публичной сетях, откуда собираются логи и открывали ли вы порт 514 в межсетьевом экране, если есть устройства в публичной сети, как я предлагал в описании. 

[PASPARTU]

В 21.08.2020 в 01:18, Roman_Petrov сказал:

Извините за поздний ответ, чтобы мне было легче попробовать и понять, выложите пожалуйста целиком свой файл конфигурации (просто copy-paste), потому что на первый взгляд мне не совсем понятно, что отличается от мною предложенного варианта. Сколько у вас устройств в локальной/публичной сетях, откуда собираются логи и открывали ли вы порт 514 в межсетьевом экране, если есть устройства в публичной сети, как я предлагал в описании. 

@version:3.9
options {
        chain_hostnames(no);
        create_dirs(yes);
        flush_lines(0);
        keep_hostname(yes);
        log_fifo_size(256);
        log_msg_size(1024);
        stats_freq(0);
        flush_lines(0);
        use_fqdn(no);
};
source src {
        internal();
        unix-dgram("/dev/log");
};
source net {
        udp(ip(192.168.11.1) port(514));
};
source kernel {
        file("/proc/kmsg" program_override("kernel"));
};
destination messages {
        file("/opt/var/log//logFile_${SOURCEIP}");
};
log {
        source(src);
        source(net);
        source(kernel);
        destination(messages);
};
# put any customization files in this directory
# @include "/opt/etc/syslog-ng.d/"

 

 

в новой версии как я понял новый синтаксис, об этом говорить сам syslog-ng при запуске

 

[KYTECHNGAMING]

I had a netbook running 24/7. I got the syslog of my local and remote network with the information here. I can read and save records with kiwi and visual syslog server from a computer with windows xp installed.

 

[The_Immortal]

Что-то я запутался в рассуждениях ТС:

В 27.07.2016 в 20:23, Roman_Petrov сказал:

пробуйте такой вариант (фрагмент конфига, где в разделе src убрана строка unix-stream("/dev/log"); ), как предложил @gvan

@gvan вроде как предложил как раз-таки строку НЕ УБИРАТЬ:

В 02.08.2016 в 16:48, gvan сказал:

Объединил предложенную запись с системным логгерами:

source src { udp(ip(192.168.1.1) port(514)); internal(); unix-stream("/dev/log"); };

Так как в итоге правильно?

Мой конфиг (хочу класть логи в корень флешки):

#############################################################################
# OpenWrt syslog-ng.conf specific file
# which collects all local logs into a single file called /var/log/messages.
# More details about these settings can be found here:
# https://www.syslog-ng.com/technical-documents/list/syslog-ng-open-source-edition

@version: 3.36
# @include "scl.conf"

options {
        chain_hostnames(no); # Enable or disable the chained hostname format.
        create_dirs(yes);
        keep_hostname(yes); # Enable or disable hostname rewriting.
        log_fifo_size(256); # The number of messages that the output queue can store.
        log_msg_size(1024); # Maximum length of a message in bytes.
        stats_freq(0); # The period between two STATS messages (sent by syslog-ng, containing statistics about dropped logs) in seconds.
        flush_lines(0); # How many lines are flushed to a destination at a time.
        use_fqdn(no); # Add Fully Qualified Domain Name instead of short hostname.
};

# syslog-ng gets messages from syslog-ng (internal) and from /dev/log

source src {
        udp(ip(192.168.0.1) port(514));
        internal();
        unix-dgram("/dev/log");
};

source net {
        udp(ip(192.168.0.1) port(514));
};

# source s_network {
#       default-network-drivers(
                # NOTE: TLS support
                #
                # the default-network-drivers() source driver opens the TLS
                # enabled ports as well, however without an actual key/cert
                # pair they will not operate and syslog-ng would display a
                # warning at startup.
                #
                #tls(key-file("/path/to/ssl-private-key") cert-file("/path/to/ssl-cert"))
#       );
# };

source kernel {
        file("/proc/kmsg" program_override("kernel"));
};

destination messages {
        file("/opt/messages");
};

log {
        source(src);
        source(net);
        source(kernel);
        destination(messages);

        # uncomment this line to open port 514 to receive messages
        #source(s_network);
};

#
# Finally, include any user settings last so that s/he can override or
# supplement all "canned" settings inherited from the distribution.
#
#@include "/opt/etc/syslog-ng.d/" # Put any customization files in this directory

Создал в /opt файл messages, дал ему права 777. Syslog стартанул, в роутере адрес указал, но сам файл /opt/messages остается быть пустым. Что может быть не так, подскажите, пожалуйста?

Пробовал указывать:

destination messages {
        file("/opt/var/log//logFile_${SOURCEIP}");
}

- также ничего не пишется.

---------

UPD: Со старой версией (3.9) типа в режиме совместимости заработало. Похоже, что для новых версий (в моем случае выше конфиг версии 3.36) надо что-то ещё указывать, чтобы работало... Буду признателен, если кто-то подскажет решение.

Изменено 17 мая, 2022 пользователем The_Immortal

[Roman_Petrov]

Здравствуйте,

----

Что может быть не так, подскажите... Буду признателен, если кто-то подскажет решение....

Вам нужно пашагово все сделать так как написано в шапке сообщения и будет вам счастье. Версия 3.9 точно будет работать. В описании также есть пометка, которую стоит прочесть, если вы обновляетесь с более ранних версий. В конце концов, иногда все легче снести и поставить по новой по описанию, чем разбираться что случилось... Опять же не забудьте про то что у вас должна быть установлена правильная версия OPKG, у многих это бывает истинной проблемой, почему все не работает. 

---

Пробовал указывать:

destination messages {
        file("/opt/var/log//logFile_${SOURCEIP}");
}

Это нужно только для ротации логов, т.е. если вы будете собирать логи с разных устройств и писать их в разные файлы, этой темой подробно занимался и описывал @gvan

 

 

[vitslayer]

Все работает.лог пишется. Но никак не могу настроить чтобы писал лог на ругой раздел диска где нет entware. Как прописать правильно в конфиге на отдельный раздел.  Раздел: /log такой записью не выходит

[project_fcc]

2 часа назад, vitslayer сказал:

Но никак не могу настроить чтобы писал лог на ругой раздел диска где нет entware.

destination messages {
        file("/opt/var/log/messages");
};

вместо /opt/var/log/messages указать другой путь вида /tmp/mnt/xxxx/папка_с_логами/файл_с_логами

разделы диска монтируются в /tmp/mnt/xxxx

можно в консоли выполнить команду

mount

и посмотреть, как при монтированы разделы и в конфиге указать путь.

Изменено 11 июня пользователем project_fcc

[vitslayer]

благодарю получилось