El 17/07/15 a las 18:02, Administrador de Red ETTVCL escribió:
Probé la primera parte y todo ok me crea las carpetas por host, dentro
aparecen los logs :)
Ing. Jorge Remberto Rodríguez Rodríguez
Administrador de Red ETTVCL
-----Mensaje original-----
De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu] En
nombre de Arian Molina Aguilera
Enviado el: Friday, July 17, 2015 12:46 PM
Para: Lista cubana de soporte técnico en Tecnologias Libres
Asunto: Re: [Gutl-l] Ayuda con syslog-ng y Pfsense
El 17/07/15 a las 17:13, Administrador de Red ETTVCL escribió:
No es tan sencillo porque los logs los pasa para dentro de syslog.log,
lamentablemente no tengo otro material que el man de rsyslog y estoy
trabajando a ver como filtro lo que llega para darle salida hacia otro
fichero Ej /var/log/pf/filterlog_2015-07-16.log
Ing. Jorge Remberto Rodríguez Rodríguez Administrador de Red ETTVCL
-----Mensaje original-----
De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu]
En nombre de Arian Molina Aguilera Enviado el: Friday, July 17, 2015
10:34 AM
Para: Lista cubana de soporte técnico en Tecnologias Libres
Asunto: Re: [Gutl-l] Ayuda con syslog-ng y Pfsense
El 17/07/15 a las 15:29, Administrador de Red ETTVCL escribió:
Eso es lo que necesito, la configuración del server de logs para que
el pfsense los envie
Ing. Jorge Remberto Rodríguez Rodríguez Administrador de Red ETTVCL
-----Mensaje original-----
De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu]
En nombre de Arian Molina Aguilera Enviado el: Friday, July 17, 2015
10:24 AM
Para: Lista cubana de soporte técnico en Tecnologias Libres
Asunto: Re: [Gutl-l] Ayuda con syslog-ng y Pfsense
El 17/07/15 a las 13:09, Administrador de Red ETTVCL escribió:
Necesito alguna configuración que funcione, o algún manual. Para
syslog-ng y Pfsense o para hacer algo similar.
Ing. Jorge Remberto Rodríguez Rodríguez
Administrador de Red ETTVCL
------------ próxima parte ------------ Se ha borrado un adjunto en
formato HTML...
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150717/85
d
7
956a/attachment.html>
____________________________________________________________________
_ _ Lista de correos del Grupo de Usuarios de Tecnologías Libres de
Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
el paquete syslog-ng, esta disponible en los repos de pfsense,
también en el apartado de logs de pfsense, hay una opción para
decirle que mande los logs por syslog directamente a otro servidor de
logs que este escuchando, probado en linux. Salu2.
--
Ing. Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos Nodo Central ARTex S.A.
La Habana. Cuba.
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@artex.sa
Linux Usuario Registrado #392892
_____________________________________________________________________
_ Lista de correos del Grupo de Usuarios de Tecnologías Libres de
Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
_____________________________________________________________________
_ Lista de correos del Grupo de Usuarios de Tecnologías Libres de
Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
nada del otro mundo, solo decirle al syslog del otro server, que este
escuchando por tcp o udp según necesites, por lo general, esta linea
esta comentada y solo tienes que descomentarla y reiniciar el servicio
para que este a la escucha, luego le dices al pfsense que lo tire para
dicha ip. y ahí lo veras en los logs de ese servidor. Salu2.
Edite de nuevo el archivo /etc/rsyslog.conf:
vi /etc/rsyslog.conf
Añada lo siguiente al inicio de la sección de reglas —alrededor de la línea
34:
#### RULES #### $template TmplAuth,
"/var/log/rsyslog/%HOSTNAME%/%PROGRAMNAME%.log" $template TmplMsg,
"/var/log/rsyslog/%HOSTNAME%/%PROGRAMNAME%.log" authpriv.* ?TmplAuth
*.info,mail.none,authpriv.none,cron.none ?TmplMsg # Log all kernel messages
to the console. # Logging much else clutters up the screen.
#kern.* /dev/console
Guarde los cambios y salga del editor de texto.
Genere el directorio /var/log/rsyslog
mkdir /var/log/rsyslog
Reinicie el servicio para aplicar los cambios.
service rsyslog restart
Además comparto esta configuración:
#################
#### MÓDULOS ####
#################
# Carga de módulos por defecto
Module(load = "imuxsock") # provides support for local system logging
Module(load = "imklog") # provides kernel logging support
# Se carga el módulo para recepción de logs por UDP y se "ata" al mismo a la
regla "remote", la cual hará que todos los logs remotos se escriban dentro #
del directorio /var/log/rsyslog
Module(load = "imudp")
Input(type = "imudp" port = "XXX" ruleset = "remote")
###################
#### TEMPLATES ####
###################
# Templates para los directorios
template(name="HOSTS" type="string"
string="/var/log/rsyslog/%$year%/%$month%/%$day%/%hostname%/syslog.log")
template(name="CUSTOM" type="string"
string="/var/log/rsyslog/%$year%/%$month%/%$day%/CUSTOM/syslog.log")
# Templates para personalizar los registros (Fecha, hora, hostname, tag y
mensaje de log propiamente dicho)
template(name="CustomFormat_Hosts" type="string"
String="%$year%-%$month%-%$day% %$hour%:%$minute% %hostname% %syslogtag%
%msg%\n")
template(name="CustomFormat_CUSTOM" type="string"
string="%$year%-%$month%-%$day% %$hour%:%$minute% CUSTOM %syslogtag%
%msg%\n")
#############################
#### DIRECTIVAS GLOBALES ####
#############################
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# Set the default permissions for all log files.
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
# Where to place spool and state files
$WorkDirectory /var/spool/rsyslog
# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf
##################################
#### Reglas para logs remotos ####
##################################
# Se define la regla "remote", la cual se utilizará para los logs remotos.
Salvo que se trate de una IP en particular # se separa todo por nombre de
host
ruleset(name="remote"){
if $fromhost-ip == 'aaa.bbb.ccc.ddd' then{ ?CUSTOM;CustomFormat_CUSTOM stop
}
else{
?HOSTS;CustomFormat_Hosts
stop
}
}
##################################
#### Reglas para logs locales ####
##################################
# First some standard log files. Log by facility.
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
# Logging for the mail system. Split it up so that it is easy to write
scripts to parse these files.
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err
# Logging for INN news system.
news.crit /var/log/news/news.crit
news.err /var/log/news/news.err
news.notice -/var/log/news/news.notice
# Some "catch-all" log files.
*.=debug;\
auth,authpriv.none;\
news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;\
auth,authpriv.none;\
cron,daemon.none;\
mail,news.none -/var/log/messages
# Emergencies are sent to everybody logged in.
*.emerg :omusrmsg:*
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
busy site..
daemon.*;mail.*;\
news.err;\
*.=debug;*.=info;\
*.=notice;*.=warn |/dev/xconsole
--
Ing. Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos Nodo Central ARTex S.A. La
Habana. Cuba.
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@artex.sa
Linux Usuario Registrado #392892
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150717/28b63f0b/a
ttachment.html>
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Genial. Salu2.
--
Ing. Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Nodo Central ARTex S.A. La Habana. Cuba.
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@artex.sa
Linux Usuario Registrado #392892
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l