希望我的问题是在正确的地方。
我目前正在尝试将系统日志从 Ubuntu 机器转发到 Qradar 机器。
他们在同一个网络上,我已经设法让 Rsyslog 工作,但 Qradar 不支持它。因此,我不得不切换到 Syslog-ng。
IBM 官方文档指出,只需在/etc/syslog-ng/syslog-ng.conf 文件中添加几行代码即可:
source qr_source {
internal();
system();
};
filter qr_filter {
facility(auth, authpriv);
};
destination qr_destination {
tcp("<qradar_ip_address>" port(514));
};
log{
source(qr_source);
filter(qr_filter);
destination(qr_destination);
};
******@****:/etc/syslog-ng$ sudo service syslog-ng restart
Job for syslog-ng.service failed because the control process exited with error code.
See "systemctl status syslog-ng.service" and "journalctl -xe" for details.
******@*****:/etc/syslog-ng$ syslog-ng
syslog-ng: Error setting capabilities, capability management disabled; error='Operation not permitted'
[2021-05-23T19:53:13.519942] Error opening control socket, bind() failed; socket='/var/lib/syslog-ng/syslog-ng.ctl', error='Address already in use (98)'
[2021-05-23T19:53:13.536721] Error creating persistent state file; filename='/var/lib/syslog-ng/syslog-ng.persist-', error='Permission denied (13)'
我还注意到生成错误的代码行是与日志相关的代码行。
我确实添加了 SYSLOGNG_OPTS="--no-caps"。
我确实尝试停止并启动而不是重新启动。
我真的不知道如何在这里进行,我有点绝望。
如果有人可以提供任何帮助,将不胜感激。
谢谢你。
最佳答案
我的解决方法有点奇怪。我也很绝望,试图在 docker 容器中运行 syslog-ng。有效的配置如下。替换 /etc/default/syslog-ng 中的最后一行与 SYSLOGNG_OPTS="--caps cap_sys_admin,cap_chown,cap_dac_override,cap_net_bind_service,cap_fowner=eip" .但是,运行 syslog-ng --no-caps当谈到执行。我希望你会像我一样感到惊讶
关于ubuntu - 重启时出现 Syslog-ng 服务错误 - syslog 转发到 Qradar,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67663705/