Zentraler syslog server

Hallo,

wir haben in der Firma einen zentralen Syslog Server.
Ist es möglich, die Logs der MD dort hinzuschicken?
Konfiugration währe kein Problem - die primäre Frage ist die, ob die Konfiguraitonen von internen Routinen der MD wieder überschrieben werden?

Viele Grüße
Micha

Lege die Konfiguration in /etc/rsyslog.d/ ab. Diese Datei würde von rsyslog laut /etc/rsyslog.conf mit als erstes eingelesen werden (ggf. durch ein Prefix wie “00” absichern). Dort kannst du dann alles zu einem anderen Server leiten lassen.

Bei Updates sollte deine Konfiguration erhalten bleiben, da du ja nichts verändert sondern nur zusätzlich hinzugefügt hast.

@pascom: In einem zukünftigen Update solltet ihr /etc/rsyslog.d/mobydick.conf bspw. in /etc/rsyslog.d/50mobydick.conf umbenennen. Das macht die Reihenfolge dann noch etwas klarer und zukunftssicher.

Guten Morgen,

@Whissi
ich habe eine entsprechende Feature-Request Ticket aufgenommen.
Danke für den Hinweis.

Gruß
Markus

Hallo zusammen,

Danke für die Antworten und im Prinzip funktioniert das alles. Einen Punkt jedoch habe ich noch anzumerken. An unserem zentralen syslog-server habe ich einen Einstellung, die besagt, dass der Hostname des sendenden Hosts als Teil des logfilenamens genutzt wird - damit bekommt jeder externe Server ein eigenes logfile im zentralen syslog server:

Logfile for each host

$template DynaFile,"/var/log/syslog-%HOSTNAME%.log"

Allerdings entstand bei mir am syslog server eine Datei namens: “syslog-localhost.log” - was natürlich nicht so schön ist.
Nach einigem suchen habe ich folgenden /etc/hosts Eintrag gefunden:

“127.0.0.1 localhost.localdomain localhost mobydick”

und auch festgestellt, dass alle internen logfiles als hostname localhost verwendet haben.

Ich habe jetzt in der /etc/hosts einen zweiten Eintrag erstellt und für den hostname mobydick die richtige IP Adresse genutzt:

127.0.0.1 localhost.localdomain localhost
XXX.XXX.XXX.XXX mobydick

Nach dem restart des syslog Servers waren sowohl die lokalen Einträge als auch die remoten Einträge sauber und es entsteht ein passendes logfile.
Was ich mir nicht erklären kann ist der Punkt, warum auf 127.0.0.1 bei uns in der hosts Datei noch der hostname gebunden war. Kann das jemand nachvollziehen?

Viele Grüße und vorab schon mal Dank!
Micha

Ich weiß nicht wie wichtig euch eure Logfiles sind, aber ihr solltet euch nie auf Daten verlassen, die euch jemand sendet. Wie du nun festgestellt hast, kann irgendjemand euch irgendetwas mit einem beliebigen Hostnamen senden und damit eure Logs durcheinander wirbeln. Besser: Den verarbeitenden Server bestimmen lassen, bspw. fromhost verwenden (setzt natürlich eine funktionierende rDNS-Auflösungen voraus).

Ich kann zumindest nur bestätigen, dass das auch auf den MDs hier der Fall war. Das könnte noch dem alten Debian-Installer geschuldet sein…

Grundsätzlich: Über das hosts-File konfiguriert man keinen FQDN, nicht einmal einen Hostname. Wird oft so gemacht (aus historischen Gründen wo es noch kein DNS gab), ist aber (heute) unsauber und führt zu Problemen, wenn man zusätzlich noch einen lokalen DNS betreibt (bei Änderungen vergisst man dann oft hosts-Files zu aktualisieren oder umgekehrt).

Besser: Nur den Hostname in /etc/hostname eintragen und die Domain via /etc/resolv.conf setzen. Letzteres ist aber nicht notwendig, wenn der dnsmasq auf der MD korrekt konfiguriert wurde (via Commander). Ggf. muss man nur aufräumen: Ich habe die Erfahrung gemacht, dass wenn die MD einmal via DHCP IP-Konfigurationen bezogen hat (sei es auch nur für ein zusätzliches Interface), dann werden gerne vom dhcpclient angepasste ntp.conf und resolv.conf Dateien angelegt. Diese werden bei einer Konfigurationsänderung des Interfaces über die MD aber nicht entfernt. Solange die Daten dort “stimmen”, fällt das nicht auf… aber wenn die dortigen Daten zu einem anderen Netzwerk gehören was irgendwann nicht mehr vorhanden ist, gehen die Probleme los.

Die DNS-Konfiguration kann man anschließend einfach mit


$ hostname
$ hostname --fqdn

überprüfen.

Aber Achtung: Sollte der zentrale syslog-Server einen anderen DNS verwenden, kann aus seiner Sicht wiederum die Auflösung ganz anders ausfallen. Das muss vor allem deshalb beachtet werden, weil die MD ja in der Regel mit dnsmasq seinen reigenen Resolver nutzt und auch anders konfiguriert sein kann.

Hallo Whissi,

Ggf. muss man nur aufräumen: Ich habe die Erfahrung gemacht, dass wenn die MD einmal via DHCP IP-Konfigurationen bezogen hat (sei es auch nur für ein zusätzliches Interface), dann werden gerne vom dhcpclient angepasste ntp.conf und resolv.conf Dateien angelegt. Diese werden bei einer Konfigurationsänderung des Interfaces über die MD aber nicht entfernt. Solange die Daten dort “stimmen”, fällt das nicht auf… aber wenn die dortigen Daten zu einem anderen Netzwerk gehören was irgendwann nicht mehr vorhanden ist, gehen die Probleme los.

Ab der 7.09.01 versuchen wir das hier etwas in den Griff zu bekommen, und der Commander räumt die Dateien auf sobald von dhcpclient auf ein statisches Netzwerk umgeschaltet wird.

Grüße,
Jan

Hallo zusammen,

die Sache mit dem hostname hat mich auch etwas verwirrt. Die Datei /etc/hostname ist korrekt.

Die ganze Sache läuft auch, wenn ich keinen zusätzlichen Eintrag in der /etc/hosts für den eigenen hostname erstelle.
Einfach auf 127.0.0.1 nur localhost-Dinge eintragen und es funktioniert alles wie gewünscht.

Vielen Dank für das viele Feedback!

Micha