OSX als Syslog-Server ausführen

3625
Iain

Ich möchte die Protokolle von meinem Router (einem ASUS RT68U) auf meinem Laptop (OSX 10.9) erhalten. Es unterstützt Syslog und OSX hat ASL (anscheinend eine Obermenge von Syslog). Ich habe die Anweisungen in OS X Lion als Syslog-Server befolgt, aber die Konsole zeigt unter / var / log / network nichts an (obwohl das Verzeichnis nicht angezeigt wird).

Die Schritte, die ich unternommen habe:

  • Stellen Sie die IP-Adresse meines Laptops auf der Administratorseite des Routers für Syslogging ein.
  • Syslog plist wurde aktualisiert, um im Netzwerk zu hören.
  • Das Verzeichnis (/ var / log / network) wurde erstellt, in dem Sie sich anmelden können.

Dies ist der Punkt, an dem ich leicht von den Anweisungen abweiche, wie bei vielen anderen Dingen in / etc unter OSX. Wenn es auch eine Unterordnerstruktur hat, sollten Sie Ihre conf dort hinzufügen und die Hauptdatei alleine lassen. So,

  • ASL-Konf. Hinzugefügt Hier liegt meines Erachtens das Problem.

/ etc / asl / asus-router

# Asus router logs ? [A= Host router.asus.com] store_directory /var/log/network uid=0 gid=20 mode=0644 format=bsd rotate=seq compress file_max=5M all_max=50M # I've also tried: #? [= Host 192.168.1.1] … #? [A= Host 192.168.1.1] … #? [= Host router.asus.com] … #? [= Sender router.asus.com] … #? [A= Sender router.asus.com] … #? [= IP router.asus.com] … #? [A= IP router.asus.com] …
  • Die Syslog-Liste wurde entladen und geladen, um die neue Conf abzurufen.
  • Über SSH am Router angemeldet. Dies hilft hilfreich, einen Protokolleintrag hinzuzufügen und ich habe folgende Informationen erhalten:

ssh'd in den router

nvram show | grep log_level size: 50509 bytes (15027 left) log_level=6  ps | grep syslog 9358 iain 1488 S /sbin/syslogd -m 0 -S -O /tmp/syslog.log -s 256 -l 6 -R 192.168.1.140:514 -L

Schließlich schaltete ich die Firewall aus und rannte los sudo tcpdump udp port 514. Ich kann Logs sehen, aber es erscheint nichts in der Konsole, auch wenn ich die Plist neu lade.

06:21:38.983497 IP router.asus.com.40420 > iains-air.syslog: SYSLOG authpriv.info, length: 86

Ich habe sogar einen Blick auf RFC5424 geworfen, um herauszufinden, wie ich mit dem Hostnamen übereinstimmen könnte, aber wie immer bei RFCs, sind sie ziemlich abstrakt. Das einzige, was ich mir vorstellen kann, ist die Bearbeitung von /etc/syslog.conf, aber ich würde nicht wissen, mit was.

Anregungen oder Erkenntnisse werden dankend angenommen.

4
Die Routerkonfiguration ist [hier beschrieben] (https://fatmin.com/2015/01/04/configure-syslog-logging-levels-on-the-asus-rt-ac66u-router/) und die von OSX [ist hier] (http://meinit.nl/enable-an-apple-mac-os-x-machine-as-a-syslog-server). Fügen Sie dem Beitrag Informationen hinzu, wenn dies nicht funktioniert. harrymc vor 7 Jahren 1
@ harrymc Es gibt nichts hinzuzufügen, da das einzige, was ich noch nicht getan habe, die Zeile zu /etc/syslog.conf hinzufügt, was ich getan habe und nichts passiert ist, aber das conf hat "# Beachten Sie, dass jetzt flache Protokolldateien vorhanden sind in /etc/asl.conf konfiguriert "so scheint es, als ob die Zeile ohnehin unnötig ist. Ich denke, das Problem liegt in der asl conf, aber gute Beispiele dafür zu finden ist schwierig. Iain vor 7 Jahren 0
@ harrymc Das ist das, das ich oben in meiner Frage verlinkt habe ;-) Iain vor 7 Jahren 0
Oups Haben Sie nachgespürt, wo das Problem liegt? Sie können wählen, ob der Router nicht sendet oder OSX ignoriert (oder beides). Ich würde auch nach allen Dateien mit "asl" im Namen suchen. harrymc vor 7 Jahren 0
Führen Sie auf dem Mac sudo lsof -nPi 4 | aus grep: 514`, um zu sehen, ob tatsächlich etwas am Syslog-Port abgehört wird (514 / UDP). Wenn nicht, haben Sie Ihre syslogd launchctl plist möglicherweise nicht erfolgreich bearbeitet oder nicht entladen und nicht neu geladen. Spiff vor 7 Jahren 0
@Spiff Danke. Dieser Befehl zeigt an, dass sowohl launchd als auch syslogd abhören. Ich denke, so sollte es aussehen, als launchd wahrscheinlich eingerichtet wird und an syslog übergeben wird, aber vielleicht sollte launchd aufhören, ein Zuhörer zu sein? Ich habe überprüft, ob die Plist gültig ist, entladen und dann auch mit launchctl geladen wurde. Iain vor 7 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme