1. ホーム
  2. 質問と答え
  3. Syslog-NG 2台の中継サーバの問題

Syslog-NG 2台の中継サーバの問題

2017-10-30 51 views
0

2台のsyslog-ng中継サーバでログを転送しようとしています。最初の中継サーバIPがソースとして追加され、SIEMにはすべてのログが最初のsyslogリレーサーバー。Syslog-NG 2台の中継サーバの問題

セットアップは以下のとおりです。

クライアント - > Syslogの-リレー1 --->のSyslog-RELAY2 ---> SIEM

SIEMで私はSyslogの-リレー1として、すべてのログソースを見ています。私は複数のオプションで試合をしたことがありますが、まだ希望はありません。私がここで何を欠いているのか?私は、このセットアップを説明する適切な文書/フォーラムを見つけることができません。なぜこれを達成しようとしているのかという疑問がある場合に備え、特定のログフローを満たすことを検討しています。あなたはSIEMのクライアントのIPアドレスを使用したい場合は、あなたが持っている、

@version:3.5 
@include "scl.conf" 

# syslog-ng configuration file. 
# 
# This should behave pretty much like the original syslog on RedHat. But 
# it could be configured a lot smarter. 
# 
# See syslog-ng(8) and syslog-ng.conf(5) for more information. 
# 
# Note: it also sources additional configuration files (*.conf) 
#  located in /etc/syslog-ng/conf.d/ 
options { 
    time-reap(30); 
    mark-freq(10); 
# keep-hostname(yes); 
    keep-hostname(no); 
    log_msg_size(65536); 
    log_fifo_size(10000); 
    threaded(yes); 
    flush_lines(100); 
    use_dns(no); 
    stats_freq(60); 
    mark_freq(36400); 
    use_fqdn(no); 
# chain-hostnames(yes); 
    chain-hostnames(no); 
    }; 


source s_syslog_over_network { 
     network(
       ip(0.0.0.0) 
       log-fetch-limit(200) 
       log-iw-size(1000000) 
       keep-alive(yes) 
       max_connections(10000) 
       port(9999) 
       transport("tcp") 
       flags(no-parse) 
     ); 
}; 


destination d_syslog_tcp { 
     network(
       "10.12.86.98" 
       transport("tcp") 
       port(12229) 
     ); 
}; 

log { 
     source(s_syslog_over_network); 
     destination(d_syslog_tcp); 
};

のSyslog-RELAY2

@version:3.5 
@include "scl.conf" 

# syslog-ng configuration file. 
# 
# This should behave pretty much like the original syslog on RedHat. But 
# it could be configured a lot smarter. 
# 
# See syslog-ng(8) and syslog-ng.conf(5) for more information. 
# 
# Note: it also sources additional configuration files (*.conf) 
#  located in /etc/syslog-ng/conf.d/ 
options { 
    time-reap(30); 
    mark-freq(10); 
# keep-hostname(yes); 
    keep-hostname(no); 
    log_msg_size(65536); 
    log_fifo_size(10000); 
    threaded(yes); 
    flush_lines(100); 
    use_dns(no); 
    stats_freq(60); 
    mark_freq(36400); 
    use_fqdn(no); 
# chain-hostnames(yes); 
    chain-hostnames(no); 

    }; 


source s_syslog_over_network { 
     network(
       ip(0.0.0.0) 
       log-fetch-limit(200) 
       log-iw-size(1000000) 
       keep-alive(yes) 
       max_connections(10000) 
       port(12229) 
       transport("tcp") 
       flags(no-parse) 
     ); 
}; 



destination d_syslog_tcp { 
     network(
       "10.12.86.76" 
       transport("tcp") 
       port(12221) 
     ); 
}; 

log { 
     source(s_syslog_over_network); 
     destination(d_syslog_tcp); 
};

出典

2017-10-30 xor_lord

+0

こんにちは、https://www.balabit.com/documents/syslog-ng-ose-latest-guides/en/syslog-ng-ose-guide-admin/html/に記載されているヒントを試してみましたか?手順 - 構成 - syslog-ng-relays.htmlおよびhttps://www.balabit.com/documents/syslog-ng-ose-latest-guides/en/syslog-ng-ose-guide-admin/html/example- how-relaying-works.html? –

+0

はい。私は確かにガイドに従って、私が言ったように、すべての問題は我々が2番目のリレーを導入するときに始まります。 –

答えて

0

のSyslog-リレー1:

続いて事前に感謝は私の設定です〜へ:

  1. これは、クライアント のメッセージのorginal HOSTフィールドを破棄し、代わりにクライアントのIPアドレスを使用します

のSyslog-リレー1に keep-hostname(no)use-dns(no)を設定します。

は、
  • は、SYSLOG-リレー1のsyslog-RELAY2

    • keep-hostname(yes)を設定し、メッセージのHOSTフィールドが上書きされました。あなた はになりますこれをSIEMに転送します。

  • SYSLOG-RELAY2にs_syslog_over_networkからflags(no-parse)を除去

    • それに向かって転送する前に解析されなければならないので、クライアントのIPは、メッセージに格納されます。 SIEM。

    出典

    2017-10-31 20:24:46 Anno

    +0

    それは魔法をしました。今働いている –

    関連する問題

     関連する問題