Есть у нас старенький сервачок abakus.company.com под FreeBSD 6.4, на который наши коммутаторы Cisco Catalyst шлют свои логи. И решили мы разгрузить этот сервачок от лишних сервисов, а почетную миссию приёма логов от удалённых хостов поручить серверу mark.company.com, который крутится на FreeBSD 7.1 . Казалось бы, что тут такого сложного - перекозли конфиг и опции запуска сислога, да переопредели цискам logging IP. Но не тут-то было...
Вот такие настройки были на abakus.company.com:
abakus# cat /etc/rc.conf
[...skipped...]
syslogd_enable="YES"
syslogd_flags=" -n -a 100.100.232.0/24:* "
[...skipped...]
Если глянуть в /etc/defaults/rc.conf, то по умолчанию syslogd запускается с флагом -s, что означает, что хоть демон слушает на всех интерфейсах, но принимать от удаленных хостов ничего не будет.
Мы же определяем список хостов\сетей, от которых примем логи, опцией -a ipaddress/netmask:port , и опцией -n запрещаем делать запросы к ДНС.
abakus# cat /etc/syslog.conf
+@
*.err;kern.warning;auth.notice;mail.crit /dev/console
*.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
security.* /var/log/security
auth.info;authpriv.info /var/log/auth.log
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
ftp.info /var/log/xferlog
cron.* /var/log/cron
*.=debug /var/log/debug.log
*.emerg *
!startslip
*.* /var/log/slip.log
!ppp
*.* /var/log/ppp.log
+100.100.232.196
*.* /var/log/belun.log
+100.100.232.198
*.* /var/log/shrike.log
+100.100.232.5
*.* /var/log/office_sw-05.log
+100.100.232.195
*.* /var/log/torus.log
+100.100.232.10
*.* /var/log/germozone-10.log
+100.100.232.11
*.* /var/log/germozone-11.log
Строка, начинающаяся с +hostname (или +ipaddress), определяет соответственно имя (IP-адрес) хоста, от которого мы желаем принимать логи. Последующие строки определяют, какие типы сообщений мы будем принимать (*.* - сообщения любого уровня от любой подсистемы) и куда мы будем складывать полученное (например, в файл /var/log/somehost.log), и так, пока не дойдет до следующей строки, начинающейся с +. Запись +@ эквивалентна "local hostname".
В принципе, это очень грубое и приблизительное объяснение, за точной и подробной информацией прошу в man syslog.conf
Итак, переносим эти настройки (и сами логфайлы - либо создаем на новом хосте файлы с нужными именами) на mark.company.com - а логи не ведутся! Кошки рапортуют, что лог-сообщения отправлены на 100.100.232.39 - а там в соотв.логах их нету. После замены символов пробела на табуляцию и очередного перезапуска syslogd 1 (!) сообщение от одной кошки появилось в /var/log/messages ... но нам ведь не этого надобно.
После дальнейших раскопок оказалось - дефолтный syslog.conf на mark.company.com, которому мы добавили только строки для удаленных хостов, в самом своем начале не имеет записи "+@". Добавили, рестартовали сислог - ноль реакции. И даже в /var/log/messages ничего не упало.
И наконец, последнее шаманство, которое, как ни странно, помогло - переносим строки для удаленных хостов в самое начало конфига syslog.conf, и только после них - блок описания локалхоста! Как ни странно, после этого всё заработало как надо...
Привожу окончательный конфиг сислога с mark.com.ua:
mark# cat /etc/syslog.conf
+100.100.232.196
*.* /var/log/belun.log
+100.100.232.198
*.* /var/log/shrike.log
+100.100.232.5
*.* /var/log/office-sw-05.log
+100.100.232.195
*.* /var/log/torus.log
+100.100.232.10
*.* /var/log/germozone-10.log
+100.100.232.11
*.* /var/log/germozone-11.log
+@
*.err;kern.warning;auth.notice;mail.crit /dev/console
*.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
security.* /var/log/security
auth.info;authpriv.info /var/log/auth.log
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
ftp.info /var/log/xferlog
cron.* /var/log/cron
*.=debug /var/log/debug.log
*.emerg *
!startslip
*.* /var/log/slip.log
!ppp
*.* /var/log/ppp.log