logging syslog-ng 多行记录 Windows 日志
Posted
技术标签:
【中文标题】logging syslog-ng 多行记录 Windows 日志【英文标题】:logging syslog-ng logs Windows logs in multiple lines 【发布时间】:2015-06-09 14:02:31 【问题描述】:我在通过 syslog-ng Agent for Windows v5.0.7 将我的 Windows 服务器记录到安装了 Syslog-ng PE v5.0 的主 Syslog 服务器时遇到问题。
来自代理的日志呈多行形式,见下文。 有没有人遇到过类似的问题?是否有配置选项,以便日志排成一行?还是一些重写配置?
谢谢大家
在 syslog 服务器的 syslog.conf 中配置 Windows 日志和多个日志:
filter f_syslog_win_exc host("(11.22.33.44)"); ;
destination d_syslog_win_exc file("/var/nsm/windows_syslog/test/exch/$HOST-$R_YEAR$R_MONTH$R_DAY.log"); ;
log source(remote_windows); filter(f_syslog_win_exc); destination(d_syslog_win_exc); ;
Jun 9 14:51:33 11.22.33.44 1084 <133>1 2015-06-09T14:51:33+02:00 win_server_2k8 Microsoft_Windows_security_auditing. 508 - [win@18372.4 EVENT_CATEGORY="User Account Management" EVENT_FACILITY="16" EVENT_ID="4725" EVENT_LEVEL="0" EVENT_NAME="Security" EVENT_REC_NUM="210139" EVENT_SID="N/A" EVENT_SOURCE="Microsoft Windows security auditing." EVENT_TASK="User Account Management" EVENT_TYPE="Success Audit" EVENT_USERNAME="win_server_2k8\\syslog-user"][meta sequenceId="3" sysUpTime="14899"]
Jun 9 14:51:33 4725 Security win_server_2k8\syslog-user User Success Audit win_server_2k8 User Account Management A user account was disabled.
Jun 9 14:51:33 11.22.33.44 Subject:
Jun 9 14:51:33 11.22.33.44 Security ID: win_server_2k8\test
Jun 9 14:51:33 11.22.33.44 Account Name: test
Jun 9 14:51:33 11.22.33.44 Account Domain: win_server_2k8 210139 A user account was disabled.
Jun 9 14:51:33 11.22.33.44 Subject:
Jun 9 14:51:33 11.22.33.44 Security ID: win_server_2k8\test
Jun 9 14:51:33 11.22.33.44 Account Name: test
【问题讨论】:
【参考方案1】:默认情况下,syslog-ng Windows 代理使用新的 RFC5424 协议发送日志。接收方似乎使用旧的 syslog 协议。您应该在接收端使用 syslog() 源而不是 tcp(),这样可以妥善处理多行消息。
【讨论】:
谢谢,但我尝试使用 syslog(ip(0.0.0.0) port(5144) transport("tcp") flags(syslog-protocol));系统日志(ip(0.0.0.0)端口(5144)传输(“udp”)标志(系统日志协议));在我的 syslog.conf 中并没有为我工作 - 它仍然是多行的以上是关于logging syslog-ng 多行记录 Windows 日志的主要内容,如果未能解决你的问题,请参考以下文章
openresty 使用 log_by_lua 发送日志到 syslog-ng