Tôi có một thiết lập rsyslog đang hoạt động với CentOS làm máy chủ của mình và tôi đang sử dụng Kali làm máy khách.
Tôi có thể sử dụng trình ghi nhật ký trên Kali để gửi thông báo nhật ký thử nghiệm và thấy thông báo nhật ký xuất hiện trong tệp tin nhắn CentOS và trong các tệp cụ thể của cơ sở mà tôi đã thiết lập trong /var/log. Tất cả ngoại trừ các thông báo hạt nhân.
Tôi thấy các thông báo hạt nhân xuất hiện trong tin nhắn tệp trên CentOS, nhưng nó không ghi vào hạt nhân.log tập tin tôi có trong /var/log.
Từ đó, tôi suy ra rằng ứng dụng khách Kali gửi thông báo nhật ký chính xác (vì nó được nhận và hiển thị trong tệp tin nhắn), nhưng tôi thiếu thứ gì đó trong rsyslog.conf tập tin trên CentOS.
Đây là những gì tôi sử dụng để tạo thông báo tường trình từ Kali:
logger -t "thử nghiệm mới" -p kern.err "thử nghiệm thông điệp nhật ký hạt nhân"
Tôi làm một tin nhắn đuôi -f trên CentOS và thông báo tường trình xuất hiện. Tuy nhiên, khi tôi con mèo các hạt nhân.log tệp, nó trống.
Đây là những gì tôi có cho rsyslog.conf trên máy CentOS. Mọi lời khuyên đều được chào đón.
Đây là tập tin rsyslog.conf đầy đủ
# tập tin cấu hình rsyslog
# Để biết thêm thông tin, hãy xem /usr/share/doc/rsyslog-*/rsyslog_conf.html
# Nếu bạn gặp sự cố, hãy xem http://www.rsyslog.com/doc/troubleshoot.html
#### MÔ-ĐUN ####
# Mô-đun imjournal dưới đây hiện được sử dụng làm nguồn tin nhắn thay vì imuxsock.
$ModLoad imuxsock # hỗ trợ ghi nhật ký hệ thống cục bộ (ví dụ: thông qua lệnh logger)
$ModLoad imjournal # cung cấp quyền truy cập vào tạp chí systemd
$ModLoad imklog # đọc các thông báo kernel (các thông báo tương tự được đọc từ journald)
$ModLoad immark # cung cấp --MARK-- khả năng nhắn tin
# Cung cấp tiếp nhận nhật ký hệ thống UDP
#$ModLoad imudp
#$UDPServerRun 514
# Cung cấp tiếp nhận nhật ký hệ thống TCP
$ModLoad imtcp
$InputTCPServerRun 514
#### CHỈ THỊ TOÀN CẦU ####
# Nơi đặt các tập tin phụ trợ
$WorkDirectory/var/lib/rsyslog
# Sử dụng định dạng dấu thời gian mặc định
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# Khả năng đồng bộ hóa tệp bị tắt theo mặc định. Tính năng này thường không bắt buộc,
# không hữu ích và đạt hiệu suất cực cao
#$ActionFileEnableSync bật
# Bao gồm tất cả các tệp cấu hình trong /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf
# Tắt nhận tin nhắn qua ổ cắm nhật ký cục bộ;
# tin nhắn cục bộ được truy xuất thông qua imjournal ngay bây giờ.
$OmitLocalĐăng nhập
# Tệp để lưu trữ vị trí trong tạp chí
$IMJournalStateFile imjournal.state
#### QUY TẮC ####
# Ghi nhật ký tất cả các thông báo hạt nhân vào bàn điều khiển.
# Ghi nhiều thứ khác làm lộn xộn màn hình.
kern.info /var/log/kernel.log
# Đăng nhập bất kỳ thứ gì (ngoại trừ thư) ở cấp độ thông tin trở lên.
# Không đăng nhập tin nhắn xác thực riêng tư!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
kern.err /var/log/kernel.log
# Tệp authpriv có quyền truy cập hạn chế.
authpriv.* /var/log/secure
# Đăng nhập tất cả các thư ở một nơi.
thư.* /var/log/maillog
#log lpr tin nhắn tới một tập tin
#lpr.* /var/log/lpr.log
# Đăng nhập nội dung cron
cron.* /var/log/cron
# Mọi người đều nhận được tin nhắn khẩn cấp
*.emerg :omusrmsg:*
# Lưu các lỗi tin tức ở cấp độ crit và cao hơn trong một tệp đặc biệt.
uucp,news.crit /var/log/spooler
# Cũng lưu thông báo khởi động vào boot.log
local7.* /var/log/boot.log
# ### bắt đầu quy tắc chuyển tiếp ###
# Câu lệnh giữa bắt đầu ... kết thúc xác định một chuyển tiếp DUY NHẤT
# quy tắc. Họ thuộc về nhau, KHÔNG chia rẽ họ. Nếu bạn tạo nhiều
# quy tắc chuyển tiếp, sao chép toàn bộ khối!
# Ghi nhật ký từ xa (chúng tôi sử dụng TCP để phân phối đáng tin cậy)
#
# Hàng đợi trên đĩa được tạo cho hành động này. Nếu máy chủ từ xa là
# xuống, tin nhắn được lưu vào đĩa và được gửi khi nó hoạt động trở lại.
#$ActionQueueFileName fwdRule1 # tiền tố tên duy nhất cho các tệp bộ đệm
#$ActionQueueMaxDiskSpace 1g # Giới hạn dung lượng 1gb (dùng càng nhiều càng tốt)
#$ActionQueueSaveOnShutdown khi # lưu thư vào đĩa khi tắt máy
#$ActionQueueType LinkedList # chạy không đồng bộ
#$ActionResumeRetryCount -1 # lần thử lại vô hạn nếu máy chủ ngừng hoạt động
# máy chủ từ xa là: tên/ip:cổng, ví dụ: 192.168.0.1:514, cổng tùy chọn
#*.* @@máy chủ từ xa:514
# ### kết thúc quy tắc chuyển tiếp ###
