Alternatywa dla syslog-ng na linux'a


(przemo252) #1

Mam kilka routerów mikrotik, często zmienia się na nich adresacja i potrzebuje ściągać z nich logi, najbardziej popularny program pod linuxa to chyba syslog-ng niestety ma tą przypadłość że trzeba w pliku konfiguracyjnym określić z jakich adresów IP ma odbierać te logi, a te adresy mi się często zmieniają i nie chce za każdym razem wchodzić i wpisywać aktualnych.
Miałem kiedyś NAS od Synology (zbierał logi) i nie trzeba było mu podawać IP routera po prostu wyłapywał wszystko co wpadało , właśnie potrzebuje takiego odpowiednika na linuxa


(marcin82) #2

Sprawdź rsyslog, szukaj tak:
https://www.google.com/search?q=rsyslog+log+server&ie=utf-8&oe=utf-8&client=firefox-b-ab .


(roobal) #3

Greylog.


(przemo252) #4

Bardzo dziękuje, poczytałem o programie faktycznie chyba najlepszy z możliwych.
Zainstalowałem go na Ubuntu, regułki na zbieranie logów zostawiłem na Mikrotiku takie jakie były gdy logował na Synology ale coś nie przechodzi… możesz podpowiedzieć czy nie zrobiłem błedu w konfiguracji? ma zbierać wszystko co leci po TCP… może trzeba coś odblokować na firewallu linuxa?


(marcin82) #5

Tu masz regułę i port do iptables:
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux_OpenStack_Platform/3/html/Installation_and_Configuration_Guide/Configuring_the_rsyslog_Server.html


(przemo252) #6

Czyli jednak te porty domyślnie ubuntu ma poblokowane, dobra bede próbował, dzieki !


(marcin82) #7

Nawet Wyrocznia nie wie co w Ubuntu jest domyślnie :stuck_out_tongue_winking_eye:

sudo iptables -nvL

(przemo252) #8

A w ustawieniach samego Grayloga, na tym screenie powyżej wszystko ok ustawione? pod to aby odbierał logi z MT


(marcin82) #9

Uruchom go z opcją debugowania - na obrazku nie za wiele widać. Zobacz co masz pod “More actions”
http://docs.graylog.org/en/2.4/pages/installation/manual_setup.html .


(roobal) #10

Gdy będę przy komputerze, to spojrzę co i jak na telefonie średnio widać co na sreenie.

Elasticsearch Ci wstał i zapiął klaster? Na MT masz regułki dstnat?


(przemo252) #11

Faktycznie wszedłem w Greyloga i w zakładc Indices znalazłem taki komunikat :

“We could not get the indices overview information. This usually means there was a problem connecting to elasticsearch and you should ensure elasticsearch is up and reachable form graylog”

Co go boli… nie wiem może spróbuje postawić to na Debianie, 3 dzień z tym się użeram :smiley:


(roobal) #12

Elastic ma ten problem, że czasami trzeba go kopnąć z buta. Kolejny problem jest taki, że lubi się zakolejkować i uruchamia kolejne (nie pamiętam jak to się nazywa) instancje. Trzeba to wyczyścić. W dokumenatcji Elasticsearch znajdziesz odpowiednie polecenie. Odpalasz elastic z palca z użytkownika elasticsearch, restartujesz Greylog i patrzysz czy masz klaster na zielono.


(przemo252) #13

I przy każdym restarcie systemu taka sama sytuacja?


(roobal) #14

Czasami tk się zdarza, ale generalnie wszystko powinno wstać od razu. Zobacz z jakim użytkownik uruchamia się usługa.


(przemo252) #15

Problem był banalny, port zostawiłem 514 (tak jak było w syslog-ng) zmieniłem na inny powyżej 1000 i poszło elegancko udp. Coś narazie TCP nie mogę dojść o co chodzi (czy źle ustawione na mt czy greylog ma jakieś problemy ze zbieraniem tcp). Muszę też zmienić ścieżkę do zbierania logów bo mam dwa dyski… :frowning:


(roobal) #16

Ja mam greylog na porcie powyżej 30000. Generalnie nie ma problemów ze zbieraniem logów. W koncu to urządzenie wysyła logi do greyloga. Bardziej szukałabym problemu w MT.


(przemo252) #17

@roobal , pomóż coś bo jak nie ty to nikt. :smiley: cały dzień siedziałem dzisiaj nad tym… regułki i przekierowania na MT mam zrobione tak samo jak te które szły wcześniej na sysloga-ng,
na firewallu mam dwie regułki - TCP - jeden z flaga Syn a drugim Fin, i normalnie widać że ruch na nich idzie, dlatego podejrzewam greyloga z mikrotika tcp wychodzą wiadomo tak samo jak udp na ten sam adres IP i Port serwera co UDP no i UDP loguje pięknie, a TCP nie ;(
tak to wyglada

Właśnie napisali na forum grayloga że TCP z mikrotika nie przejdzie … :frowning: