如何破译从 syslog-ng 到 syslog 的流量

【问题标题】：How to decipher traffic from syslog-ng to syslog如何破译从 syslog-ng 到 syslog 的流量
【发布时间】：2016-01-27 09:14:58
【问题描述】：

我有一个集中的 syslog-ng 系统，它从不同的服务器获取信息，并将其存储。幸运的是，我具有前瞻性，每个系统都通过自己的端口进入，这有助于我区分哪些流量是哪些。

我需要将部分流量发送到运行 rsyslogd 的网络传感器。但是那个传感器只在 514 上监听，我无法改变它。但是我需要 rsyslogd 框能够分离流量，并知道它最初来自哪里，以便我可以应用正确的重写和发送到传感器上的软件（基本上，将其全部模板化）。

我该怎么做？我知道 syslog-ng 框上有标记，但据我所见，这实际上不适用于出站 UDP 流量。

【问题讨论】：

标签： logging tags syslog rsyslog syslog-ng

【解决方案1】：

如果你使用 UDP，你可以使用 syslog-ng 的 spoof-source() 选项。它需要一个用 libnet 编译的 syslog-ng 包。有关详细信息，请查看https://www.balabit.com/sites/default/files/documents/syslog-ng-ose-3.7-guides/en/syslog-ng-ose-v3.7-guide-admin/html-single/index.html的文档

【讨论】：

感谢彼得的回复。我试过这个。我设置了欺骗源（是），并使用 --enable-spoof-source 标志重新编译了 syslog-ng。但它似乎不起作用。
我还尝试在 syslog-ng 端的消息中添加一个标签，然后在 rsylog.d 端的 .conf 文件中使用if $msg contains 'mytag'，但这似乎没有也可以工作。我可以 tcpdump 流量并查看消息中的标记，但 rsyslogd 没有提取流量并将其放入我想要的日志文件中。
您好，很遗憾，默认情况下标签不是消息的一部分。要将标签发送到目的地，您必须明确地将它们放入目的地模板中。

猜你喜欢

1970-01-01
2015-01-10
1970-01-01
2016-02-03
1970-01-01
1970-01-01
1970-01-01
1970-01-01
1970-01-01

相关资源

下载 2022-12-05
下载 2023-03-28
下载 2023-02-17

最近更新更多

热门标签

Java Python linux javascript Mysql C# Docker 算法前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库数据结构大数据 js 机器学习微服务 Android Go 程序员面试 JVM ASP.net core 云原生人工智能后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习多线程 React 架构 devops 爬虫云计算 Spring Boot LeetCode