Primero: en /etc/rsyslog.conf descomentar:
- module(load="imudp")
- input(type="imudp" port="514")
También habrá que asegurarse de que esta línea está descomentada:
- $IncludeConfig /etc/rsyslog.d/*.conf
Como se puede ver, hasta aquí la única diferencia que hay con respecto a los parámetros antiguos es que ya no se usan "$ModLoad" ni "$UDPServerRun".
A su vez, en /etc/rsyslog.d/ he creado dos ficheros, uno para cada sistema que necesitaba logear. Su contenido:
:FROMHOST-IP, isequal, "_direccion_ip_sistema_" /var/log/_nombre_fichero_.log
& stop
Me he encontrado con un problema: no se me generan los ficheros. Algunas de las cosas que he leído que se podía hacer era ejecutar:
#/etc/init.d/rsyslog rotate
Que a su vez, según he entendido, fuerza a rotar los ficheros de log y a su vez generar los que no estuvieran creados. Pero no han funcionado.
También he querido buscar datos ejecutando rsyslog en modo debug (o eso he entendido al buscar soluciones:
#rsyslog -dn | more
Como son muchas líneas permitirá ver las lineas. Otra opción: mandarlo a un fichero auxiliar y después hacer un pipe ( | ) con grep.
Nos permitirá ver que:
- Se han localizado los ficheros que hemos incluido en /etc/rsyslog.d/ (puedes buscar la cadena "requested to include" o "config parser".
- El contenido del filtro, al menos de uno de ellos.
Así, se podrá ver si hay algún problema. En mi caso no me ha terminado de ayudar.
No obstante, uno de los sistemas sí que están guardando datos en /var/log/messages y en /var/log/syslog.
Que se estén guardando datos en estos ficheros para sólo uno de estos sistemas lo único que me indica es que realmente está escuchando. Por lo tanto, tengo que solucionar varios problemas:
- Que no se guarden los datos en los otros ficheros: syslog ni messages.
- Que se generen los ficheros que quiero.
- Que
el equipo dellos equipos de los que no se están guardando logs sí se guarden.
La verdad, he hecho muchas pruebas con distintos resultados.
En teoría para el número 1 estaba la opción "& stop". Pero como no se generan (generaban), tampoco estoy muy seguro de que esté sirviendo.
Asegúrate de que la dirección IP del emisor es la correcta ya que en uno de los casos puse la propia del servidor de logs. De las muchas pruebas que he conseguido hacer, he tenido todo tipo de resultados.
Continuando con la línea "& stop" para solucionar el número 2: he conseguido que se generen los ficheros comentando esa instrucción. Por un lado, hice la prueba de incluir el contenido de los dos ficheros (sin el stop) en la configuración directamente y así sí que se me generaban los dos ficheros. Pero después, si comentaba esas líneas, dejaba de funcionar.
También hice lo siguiente: reiniciar tirando del cable el equipo que en ningún momento generaba el log. Como no tiene ninguna otra opción para apagar y encender no ha quedado otro remedio que hacerlo así.
Lo extraño: este del que hablo sólo genera el fichero si se reinicia. Aunque se produzca un evento, desconozco el por qué de ese comportamiento.
Como costará entender las soluciones, a ver si las puedo resumir:
- Evitar guardar en messages y syslog: A día de hoy no tengo solución viable.
- Reiniciar dispositivos si es necesario. Además, aplicar número 3.
- No poner "& stop" bajo ningún concepto, al menos para las necesidades básicas.
Aunque juraría que hice pruebas comentando esa línea maldita, no llego a entender por qué habiendo hecho lo mismo que mostré la anterior vez me ha costado tanto hacerlo funcionar.
No hay comentarios:
Publicar un comentario