Fatal编程技术网
  • logging/
  • Logging 如何通过rsyslog将日志发送到远程日志服务器?

Logging 如何通过rsyslog将日志发送到远程日志服务器?

logging

Logging 如何通过rsyslog将日志发送到远程日志服务器?,logging,rsyslog,Logging,Rsyslog,我对奥西姆很陌生。我已将ossim 3.1安装到虚拟机(vmware)上 我有两个问题: 1) 我已从OSIM安装程序启用了系统日志。现在我在ANALYSIS->SIEM中收到了大量的系统日志消息。 如何修改日志记录速率?如何管理系统日志配置?我查找了syslog conf文件,但没有。我只能找到rsyslog文件。 而且如果我这样做 alienvault:~# ps aux | grep sys root 3481 0.1 0.0 2492 1416 ? S

我对奥西姆很陌生。我已将ossim 3.1安装到虚拟机(vmware)上

我有两个问题:

1) 我已从OSIM安装程序启用了系统日志。现在我在ANALYSIS->SIEM中收到了大量的系统日志消息。 如何修改日志记录速率?如何管理系统日志配置?我查找了syslog conf文件,但没有。我只能找到rsyslog文件。 而且如果我这样做

alienvault:~# ps aux | grep sys
root      3481  0.1  0.0   2492  1416 ?        S    08:51   0:12 /var/ossec/bin/ossec syscheckd
root      5951  0.0  0.0  35512  1416 ?        Sl   08:58   0:00 /usr/sbin/rsyslogd -c3 -x
root     18427  0.0  0.0   1716   636 pts/0    S+   11:29   0:00 grep --color=auto sys
我知道只有rsyslogd在运行

2) 我已经从ossim设置中启用了Dionaea,我正在尝试将其日志发送到ossim,但没有任何结果。 我该怎么做? 在那之后,我是否应该做些别的事情,让ossim将来自Dioanea的日志与其他日志关联起来

谢谢

可以非常轻松地设置rsyslog的日志转发。您需要编辑
/etc/rsyslog.conf
文件并添加以下行:

*.* @@remote-host:514
它将设置您的本地rsyslog以将所有系统日志消息转发到“远程主机”
514
是rsyslogd服务器的端口号。您可以在希望发送日志的所有客户端上添加上述行。您可以通过查看远程服务器上的rsyslog配置(默认为/etc/rsyslog.conf)了解更多信息。它可能使用UDP或TCP。如果是UDP,请使用

*.* @hostname:<port>

*.@hostname:
如果是TCP

*.* @@hostname:<port>

*.@hostname:
您可以通过检查以下行获得端口号-

$UDPServerRun <port>
$TCPServerRun <port>

$UDPServerRun
$TCPServerRun
您可以根据Dioanea服务器的主机名或IP地址使用Rsyslog设置过滤规则,并将其写入单独的文件(如果您需要的话)

最近有一个补丁,可以让您将Dionaea事件发送到syslog: