Am o configurare rsyslog de lucru cu CentOS ca server și folosesc Kali ca client.
Pot folosi loggerul pe Kali pentru a trimite mesaje de jurnal de testare și pentru a vedea mesajele de jurnal apar în fișierul de mesaje CentOS și în fișierele specifice instalației pe care le-am configurat /var/log. Toate cu excepția mesajelor de la kernel.
Văd că apar mesaje kernel în fișierul mesaje pe CentOS, dar nu scrie în fișierul kernel.log fisierul pe care il am /var/log.
De aici deduc că clientul Kali trimite corect mesajul de jurnal (așa cum este primit și prezent în fișierul de mesaje), dar îmi lipsește ceva în rsyslog.conf fișier pe CentOS.
Acesta este ceea ce folosesc pentru a genera un mesaj de jurnal de la Kali:
logger -t „test nou” -p kern.err „testarea mesajelor din jurnalul nucleului”
fac o tail -f mesaje pe CentOS și apare mesajul de jurnal. Totuși, când eu pisică cel kernel.log fișier, este gol.
Pentru asta am rsyslog.conf pe computerul CentOS. Orice sfat este binevenit.
Aici este fișierul complet rsyslog.conf
# fișier de configurare rsyslog
# Pentru mai multe informații, consultați /usr/share/doc/rsyslog-*/rsyslog_conf.html
# Dacă întâmpinați probleme, consultați http://www.rsyslog.com/doc/troubleshoot.html
#### MODULE ####
# Modulul imjurnal de mai jos este acum folosit ca sursă de mesaje în loc de imuxsock.
$ModLoad imuxsock # oferă suport pentru înregistrarea în sistem local (de exemplu, prin comanda logger)
$ModLoad imjurnal # oferă acces la jurnalul systemd
$ModLoad imklog # citește mesajele kernelului (aceleași sunt citite din journald)
$ModLoad immark # oferă capacitatea de mesaj --MARK--
# Oferă recepție UDP syslog
#$ModLoad imudp
#$UDPServerRun 514
# Oferă recepție syslog TCP
$ModLoad imtcp
$InputTCPServerRun 514
#### DIRECTIVE GLOBALE ####
# Unde să plasați fișierele auxiliare
$WorkDirectory /var/lib/rsyslog
# Utilizați formatul implicit de marcaj de timp
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# Capacitatea de sincronizare a fișierelor este dezactivată în mod implicit. Această caracteristică nu este de obicei necesară,
# nu este util și o performanță extremă
#$ActionFileEnableSync activat
# Includeți toate fișierele de configurare în /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf
# Opriți recepția mesajelor prin soclul de jurnal local;
# mesaje locale sunt preluate prin imjurnal acum.
$OmitLocalLogging activat
# Fișier pentru a stoca poziția în jurnal
$IMJournalStateFile imjournal.state
#### REGULI ####
# Înregistrați toate mesajele kernelului pe consolă.
# Înregistrarea mult mai mult dezordinea ecranul.
kern.info /var/log/kernel.log
# Înregistrați orice (cu excepția e-mailului) cu informații de nivel sau mai mare.
# Nu înregistrați mesaje private de autentificare!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
kern.err /var/log/kernel.log
# Fișierul authpriv are acces restricționat.
authpriv.* /var/log/secure
# Înregistrați toate mesajele e-mail într-un singur loc.
mail.* /var/log/maillog
#log lpr mesaj într-un fișier
#lpr.* /var/log/lpr.log
# Înregistrează chestii cron
cron.* /var/log/cron
# Toată lumea primește mesaje de urgență
*.emerg :omusrmsg:*
# Salvați erorile de știri de nivel critic și superior într-un fișier special.
uucp,news.crit /var/log/spooler
# Salvați mesajele de boot și în boot.log
local7.* /var/log/boot.log
# ### începe regula de redirecționare ###
# Declarația dintre începutul ... sfârșitul definește o SINGURĂ redirecționare
# regulă. Ei aparțin împreună, NU le despărțiți. Dacă creați mai multe
# reguli de redirecționare, duplicați întregul bloc!
# Înregistrare la distanță (folosim TCP pentru livrare fiabilă)
#
# O coadă pe disc este creată pentru această acțiune. Dacă gazda la distanță este
# în jos, mesajele sunt spool pe disc și trimise când este din nou activ.
#$ActionQueueFileName fwdRule1 # prefix de nume unic pentru fișierele spool
#$ActionQueueMaxDiskSpace 1g # Limită de spațiu de 1gb (folosește cât mai mult posibil)
#$ActionQueueSaveOnShutdown on # salvează mesajele pe disc la închidere
#$ActionQueueType LinkedList # rulează asincron
#$ActionResumeRetryCount -1 # infinite încercări dacă gazda este inactivă
# gazdă la distanță este: nume/ip:port, de ex. 192.168.0.1:514, port opțional
#*.* @@host-la distanță:514
# ### sfârșitul regulii de redirecționare ###
