[Eisfair] Syslog-ng zum laufen bringen

Di Apr 26 09:50:59 CEST 2016

Hallo und Guten Morgen an die Community,

ich bin neu in der Linux-Community und lerne peu a peu dazu. Meinen Anfang hatte ich vor einige Monaten mit dem Raspberrypi 2 gemacht und habe auf dem jetzt Owncloud und FTP am laufen. Im Verlauf meiner Lernphase wollte ich jetzt mal einige Schritte weitergehen und habe auf einer VM die Sophos XG Firewall installiert und den Pi dahinter gepackt. Ein Host ist nur in meiner DMZ und die ganzen anderen Clients in meinem LAN.

Auf meinem Hypervisor habe ich noch eine zweite VM installiert, den ich gerne als Syslog-Server nutzen möchte. In dem Zusammenhang habe ich mir sagen lassen, dass Syslog-ng ganz gut ist und habe das Paket auf einer Debian 8.0 Distribution installiert. Soweit so gut. Die Anleitung dieser Seite habe ich mir angeschaut:

http://blog.webernetz.net/2014/07/24/basic-syslog-ng-installation/

Soweit ich das richtig verstehen konnte, habe ich eine Log-Datei in das Conf.d Verzeichnis angelegt. Der Inhalt der Datei sieht wie folgt bei mir aus:

/etc/syslog-ng/conf.d/firewalls.conf

##################################################
options {
        create_dirs(yes);
        owner(root);
        group(root);
        perm(0640);
        dir_owner(root);
        dir_group(root);
        dir_perm(0750);
};

##################################################
source s_udp {
        udp(port(514));
};

#Template for a new firewall in the firewalls.conf file
#Entries to be changed: NAMEOFTHEFIREWALL and IPOFTHEFIREWALL

##################################################
filter f_sophos {
        host("172.16.16.16");
};
destination d_sophos {
        file("/var/log/firewalls/sophos/$YEAR/$MONTH/$YEAR-$MONTH-$DAY.sophos.log");
};
log {
        source(s_udp);
        filter(f_sophos);
        destination(d_sophos);
};

##################################################
destination d_host-specific {
        file("/var/log/firewalls/$HOST/$YEAR/$MONTH/$HOST-$YEAR-$MONTH-$DAY.log");
};
log {
        source(s_udp);
        destination(d_host-specific);
};

Ein restart von Syslog-ng gibt folgenden Fehler raus:

Job for syslog-ng.service failed. See 'systemctl status syslog-ng.service' and 'journalctl -xn' for details.

Und ein systemctl status syslog-ng.service gibt dies raus:

● syslog-ng.service - System Logger Daemon
   Loaded: loaded (/lib/systemd/system/syslog-ng.service; enabled)
   Active: failed (Result: start-limit) since Di 2016-04-26 09:45:39 CEST; 28s ago
     Docs: man:syslog-ng(8)
  Process: 10321 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS)
  Process: 11795 ExecStart=/usr/sbin/syslog-ng -F (code=exited, status=1/FAILURE)
 Main PID: 11795 (code=exited, status=1/FAILURE)
   Status: "Starting up... (Tue Apr 26 09:45:39 2016"

Apr 26 09:45:39 syslog systemd[1]: syslog-ng.service: main process exited, code=exited, s...URE
Apr 26 09:45:39 syslog systemd[1]: Failed to start System Logger Daemon.
Apr 26 09:45:39 syslog systemd[1]: Unit syslog-ng.service entered failed state.
Apr 26 09:45:39 syslog systemd[1]: syslog-ng.service start request repeated too quickly, ...rt.
Apr 26 09:45:39 syslog systemd[1]: Failed to start System Logger Daemon.
Apr 26 09:45:39 syslog systemd[1]: Unit syslog-ng.service entered failed state.
Apr 26 09:45:39 syslog systemd[1]: syslog-ng.service start request repeated too quickly, ...rt.
Apr 26 09:45:39 syslog systemd[1]: Failed to start System Logger Daemon.
Hint: Some lines were ellipsized, use -l to show in full.

Und ein Journal -xn dies:

-- Logs begin at Di 2016-04-26 03:52:45 CEST, end at Di 2016-04-26 09:47:24 CEST. --
Apr 26 09:47:23 syslog kernel: BANDWIDTH_IN:IN=eth0 OUT= MAC=00:15:5d:00:03:04:00:15:5d:00:03:0
Apr 26 09:47:23 syslog kernel: BANDWIDTH_OUT:IN= OUT=eth0 SRC=172.16.16.12 DST=172.16.16.16 LEN
Apr 26 09:47:23 syslog kernel: BANDWIDTH_IN:IN=eth0 OUT= MAC=00:15:5d:00:03:04:00:15:5d:00:03:0
Apr 26 09:47:23 syslog kernel: BANDWIDTH_OUT:IN= OUT=eth0 SRC=172.16.16.12 DST=172.16.16.16 LEN
Apr 26 09:47:23 syslog kernel: BANDWIDTH_IN:IN=eth0 OUT= MAC=00:15:5d:00:03:04:00:15:5d:00:03:0
Apr 26 09:47:23 syslog kernel: BANDWIDTH_OUT:IN= OUT=eth0 SRC=172.16.16.12 DST=172.16.16.16 LEN
Apr 26 09:47:24 syslog kernel: BANDWIDTH_IN:IN=eth0 OUT= MAC=00:15:5d:00:03:04:00:15:5d:00:03:0
Apr 26 09:47:24 syslog kernel: BANDWIDTH_OUT:IN= OUT=eth0 SRC=172.16.16.12 DST=172.16.16.16 LEN
Apr 26 09:47:24 syslog kernel: BANDWIDTH_IN:IN=eth0 OUT= MAC=00:15:5d:00:03:04:00:01:2e:67:b8:2
Apr 26 09:47:24 syslog kernel: BANDWIDTH_OUT:IN= OUT=eth0 SRC=172.16.16.12 DST=172.16.16.3 LEN=

Und ab hier komme ich leider nicht weiter :-(

Ich hoffe das Thema kann sich zu einem Deutschen Tutorial entwickeln, da ich wenig bis garnichts auf Deutsch gefunden habe. Zumindest nichts hilfreiches. 

Freue mich auf nützliche Tipps

Gruß

Resul