Проблемы с настройкой syslog-сервера

Автор PrintScreen, 19 августа 2015, 11:38:26

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

PrintScreen

19 августа 2015, 11:38:26 Последнее редактирование: 19 августа 2015, 11:56:25 от PrintScreen
Здравствуйте, уважаемые форумчане! У меня возникла следующая проблема.
Недавно, в целях обучения запустил виртуальную машину VirtualBox, версия 4.3.30, на нее установил Debian Wheezy 7. На ней решил поднять syslog-ng для сбора логов с активного сетевого оборудования своей рабочей сети - маршрутизаторы(в основном cisco), коммутаторы и т.д. После изучения мануала по syslog-ng (https://www.balabit.com/sites/default/files/documents/syslog-ng-ose-latest-guides/en/syslog-ng-ose-guide-admin/html-single/index.html) написал такой коротенький конфиг, исключительно протестировать как и будет ли вообще работать:

Код Выделить
@version: 3.3
@include "scl.conf"
@include "`scl-root`/system/tty10.conf"
# Указываем не использовать dns
options { use_dns(no); };
# Указываем принимать сообщения по стандарту IETF на локальном интерфейсе с ip 192.168.0.1
source s_router {syslog(localip(192.168.0.1)); };
# Указываем складировать полученные сообщения в файл, по указанному пути
destination d_logging {file("/etc/syslog-ng/logging"); };
# создаем log path для сообщений
log {source(s_router); destination (d_logging); };

Запустил syslog-ng командой service syslog-ng start, ошибок не выдало. На циске прописал:

Код Выделить
logging trap warnings
logging facility local0
logging source-interface Loopback0
logging server-arp
logging host 192.168.0.1 transport tcp

Циска начала ругаться в своих логах:

Код Выделить
%SYS-3-LOGGINGHOST_FAIL: Logging to host 192.168.0.1 port 601 failed

Предположил, что файервол на сервере блокирует попытку подключения по 601 TCP-порту, прописал на сервере следующее:

Код Выделить
iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 601 -j ACCEPT

192.168.10.0/24 - это сеть из которой маршрутизаторы буду посылать свои логи

Циска перестала ругаться на невозможность подключения. Но по указанному пути файл с собранными логами упорно не хочет появляться. Подскажите, в чем я ошибся? В Линуксе, к сожалению, не силен. Буду очень благодарен за помощь, у самого варианты решения проблемы кончились.

endru

#1
19 августа 2015, 13:22:38
как соединены сети 192.168.10.0/24 и 192.168.0.0/24 ?

PrintScreen

#2
20 августа 2015, 05:44:59 Последнее редактирование: 20 августа 2015, 11:51:37 от PrintScreen
Блин, не понял, как вставить картинку, поэтому примерная схема во вложении. К Каталисту Роутер1 и syslog-сервер подключены через access-порты, Роутер2 подключен через транковый порт, на роутере 2 настроена маршрутизация посредством субинтерфейсов, он выступает в качестве шлюза для сервера. В принципе, можно было бы не городить огород, а испытать отправку логов прямо с коммутатора, но и в этом случае также не наблюдается складирования логов.
P.S. Маршрутизация работает без нареканий, пинги, трассировка ходят в обе стороны.
Cообщение объединено 20 августа 2015, 06:08:43

Хм, сейчас проверил, что по UDP логи приходят и складируются. Может быть, стоит как-то упростить правила iptables для 601 порта?
Cообщение объединено 20 августа 2015, 11:51:37

Очистил все правила iptables, прописал политики по умолчанию ACCEPT на цепочки INPUT, OUTPUT, FORWARD - циска опять начала ругаться Logging to host 192.168.0.1 port 601 failed, логи не приходит соответственно.
Печать
Вверх Страницы1
Действия пользователя