Redhat
將 Syslog 事件從 RHEL 6 重定向到 RHEL 5:是否可以提供相同的事件格式?
由於某些原因,我們將系統日誌事件從 RHEL 6(使用 rsyslog)重定向到 RHEL 5(使用 syslogd)。
在 rsyslog.conf 中的 RHEL 6 上:
*.* @10.30.46.211在 /etc/sysconfig/syslog 中的 RHEL 5 上:
SYSLOGD_OPTIONS="-r -m 0"在 RHEL 6 上,事件看起來像 (/var/log/secure):
10 月 25 日 02:10:03 rh6q32 sshd
$$ 1849 $$: pam_unix(sshd:session): 使用者 root 會話關閉
在 RHEL 5 上,相同的事件看起來像 (/var/log/secure):
10 月 25 日 02:10:03 rh6q32 rh6q32 sshd
$$ 1849 $$: pam_unix(sshd:session): 使用者 root 會話關閉
區別在於主機名(rh6q32)的雙重使用。
問題:是否有可能擺脫雙重主機名?
謝謝,尤里
不同之處在於,顯然 6 正在使用 rsyslog 竊取舊的 syslog。您可以使用模板自定義 rsyslog:
$template sysklogd,"<%PRI%>%TIMESTAMP% %syslogtag%%msg%" *.* @192.168.1.1;sysklogd來自 kkoncepts.net
根據RFC3164(耶標準),RHEL5 系統日誌不發送“正確”標頭。系統日誌數據包中應該有一個主機名。rhel5.x syslogd 將源主機添加到傳入的 syslog 流量中。
正如其他人所說,rsyslog 是在符合 RFC3164 的 RHEL 6.x 中添加的。嘿,你的 syslogd 最終會添加一個已經存在的主機欄位。