Dies ist eine alte Version des Dokuments!
Beispiel: Logdaten von einem Rechner auf den nächsten übertragen
Zielrechner netzwerkfähig machen:
/etc/sysconfig/syslog
: ( Centos 5 )
SYSLOGD_OPTIONS="-m 0 -r"
/etc/sysconfig/syslog
: ( openSuSE 11.1 )
SYSLOGD_PARAMS="-r"
/etc/default/syslogd
: ( debian 4.0 )
SYSLOGD="-r"
Passende Nachrichten in Datei '/var/log/beispiel' schreiben:
/etc/syslog.conf
:
local5.info -/var/log/beispiel
Syslog neu starten:
/etc/init.d/sysklogd restart
/etc/syslog.conf:
local5.info @zielrechner
Syslog neu einlesen:
/etc/init.d/sysklogd restart
Testen: Meldung abschicken:
logger -p local5.info "Testmeldung"
Beispiel: Logdaten von einem Rechner auf den nächsten übertragen
Zielrechner netzwerkfähig machen: Passende Nachrichten in Datei '/var/log/beispiel' schreiben:
/etc/rsyslog.conf
: ( debian 5.0 )
$ModLoad imudp $UDPServerRun 514 local5.info -/var/log/beispiel
Syslog neu starten:
/etc/init.d/rsyslog restart
/etc/rsyslog.d/remote.conf
: ( sles 11 SP 1 )
$ModLoad imudp $UDPServerRun 514
/etc/rsyslog.conf
: ( debian 5.0 )
local5.info -/var/log/beispiel
Syslog neu starten:
/etc/init.d/syslog restart
/etc/rsyslog.conf:
local5.info @zielrechner
Syslog neu einlesen:
/etc/init.d/rsyslog restart
Testen: Meldung abschicken:
logger -p local5.info "Testmeldung"
Beispiel: Eine eigene log-Regel schreiben:
/etc/syslog-ng/syslog-ng.conf.in
: (SuSE bis 10.1)
/etc/syslog-ng/syslog-ng.conf
: (SuSE ab 10.2)
filter f_ingo { level(warn) and program(logger); }; destination ingo_log { file("/var/log/ingo.log"); }; log { source(src); filter(f_ingo); destination(ingo_log); };
Configdatei überprüfen:
syslog-ng -s
Dienst neu starten und evtl. SuSEconfig glücklich machen
/sbin/conf.d/SuSEconfig.syslog-ng /etc/init.d/syslog restart
Testen:
logger -p local1.warn -t logger "Dies ist eine Testmeldung"
Beispiel: Logdaten von einem Rechner auf den nächsten übertragen
Zielrechner netzwerkfähig machen :
/etc/syslog-ng/syslog-ng.conf.in
: (SuSE bis 10.1)
/etc/syslog-ng/syslog-ng.conf
: (SuSE ab 10.2)
source src{ ... udp(ip("0.0.0.0") port(514)); };
Meldungen bestimmter Log-Facilities und Log-Priorities werden durch Filter und Destination definiert
filter f_local5 { level(info) and facility(local5); }; destination d_local5 { file("/var/log/beispiel"); }; log { source(src) ; filter(f_local5) ; destination(d_local5); };
Danach SuSEconfig
oder /sbin/conf.d/SuSEconfig.syslog-ng
aufrufen um die Änderungen permanent zu übertragen und syslog-ng reloaden.
rcsyslog reload
/etc/syslog-ng/syslog-ng.conf.in
: (SuSE bis 10.1)
/etc/syslog-ng/syslog-ng.conf
: (SuSE ab 10.2)
destination d_ziel { udp( "Zielrechner" port(514) ); }; log { source(src); destination(d_ziel); };
SuSEconfig
aufrufen zum Ändern der Konfigdatei und syslog reloaden
rcsyslog reload
paket psacct installieren.
Log aktivieren
touch acct.log accton acct.log
Log deaktivieren
accton
Logs auswerten
sa -a acct.log lastcomm -f acct.log --user nutzer14
siehe logrotate
Debian:
logcheck
SuSE:
logdigest logwatch
CentOS 5:
logwatch
debug, info, notice, warning, warn (same as warning), err, error (same as err), crit, alert, emerg, panic (same as emerg)
auth, authpriv, cron, daemon, kern, lpr, mail, mark, news, security (same as auth), syslog, user, uucp and local0 through local7