[Eisfair] [e1] syslogd startet nicht mehr

Ansgar Püster ansgar.puester at netcologne.de
Do Mär 25 09:12:37 CET 2021 

Am 24.03.2021 um 23:28 schrieb W. Loefstedt:
> Am 24.03.2021 um 17:25 schrieb Ansgar Püster:
> 
>> Ist mir bei meinen Tests leider nicht aufgefallen, da (fast)
>> alle meine Server mit dem Paket rsyslogd arbeiten.
> 
> Hallo Ansgar,
> ich habe rsyslogd installiert, lokal loggt er. Allerdings gelingt mir
> nicht, das remote logging zu konfigurieren.
> 
> Ich möchte Clients im lokalen Netz 192.168.0.0/24 loggen:
> 
> #------------------------------------------------------------------------------
> # rsyslogd syslog server (allowed sender list)
> #------------------------------------------------------------------------------
> 
> RSYSLOGD_ALLOWED_SENDER_N='1'          # Number of allowed sender
> RSYSLOGD_ALLOWED_SENDER_1_ACTIVE='yes' # Is element active (yes) or not
> (no).
> RSYSLOGD_ALLOWED_SENDER_1_PROT='RELP'  # Protocol UDP, TCP or RELP.
> RSYSLOGD_ALLOWED_SENDER_1_PORT='20514' # Port that is allowed
> RSYSLOGD_ALLOWED_SENDER_1='192.168.0.0/24'
>                                  # Allowed sender.
>                                  # IP-Adress (e.g. 192.168.1.6) or
>                                  # Hostname (e.g. eisnodev) or
>                                  # FQDN (e.g. eisnodev.ap.de) or
>                                  # Network (e.g. ap.de or 192.168.1.0/24)
> 
> Protokoll und Port lassen sich nicht ändern.
> 
> Irgendetwas stimmt (noch) nicht, aber was?
> 
> Vielen DAnk für die Hilfe,

Hallo,

Funktioniert dein zentrales Logging mit syslogd,
wenn du das -r SYSLOGD_OPTIONS entfernst?

Zu rsyslogd:
Ich vermute du bist schon einen Schritt zu weit.

a.) Über das Protokoll (Reliable Event Logging Protocol)
kann nur ein rsyslogd Client an einen rsyslogd Logserver
protokollieren.
Nutzen deine Cleints (alle) den rsyslogd?

b.) Die RSYSLOGD_ALLOWED_SENDER Variablen dienen dazu den
rsyslogd Logserver sicher zu machen. Hier kann verhindert
werden, dass beliebige Clients den zentralen rsyslogd Logserver
"vollmüllen".

c.) Wenn deine Clients Meldungen von syslog an den rsyslogd Logserver
senden sollen, dies geschieht über UDP, Port 514, so muss
RSYSLOGD_IMUDP='yes'              # Use imudp (yes) or (no)
RSYSLOGD_IMUDP_N='1'              # Number of used ports
RSYSLOGD_IMUDP_1_PORT='514'       # Portnumber
konfiguriert werden.

Erst mal
RSYSLOGD_ALLOWED_SENDER_N='0'
setzen.

Dann ggf. mit
RSYSLOGD_ALLOWED_SENDER_N='1'
RSYSLOGD_ALLOWED_SENDER_1_ACTIVE='yes'
RSYSLOGD_ALLOWED_SENDER_1_PROT='UDP'
RSYSLOGD_ALLOWED_SENDER_1_PORT='514'
RSYSLOGD_ALLOWED_SENDER_1='192.168.0.0/24'
den rsyslogd Logserver absichern.

So weit erst mal.
Gruß,
Ansgar

Mehr Informationen über die Mailingliste Eisfair