我在使用适用于 Windows v5.0.7 的 syslog-ng 代理将我的 Windows 服务器记录到安装了 Syslog-ng PE v5.0 的主系统日志服务器时遇到问题。
来自代理的日志以多行形状行走,见下文。 有没有人遇到过类似的问题?是否有配置选项,以便日志排成一行?或者一些重写配置?
谢谢大家
在 syslog 服务器的 syslog.conf 中配置 Windows 日志和多个日志:
filter f_syslog_win_exc { host("(11.22.33.44)"); };
destination d_syslog_win_exc { file("/var/nsm/windows_syslog/test/exch/$HOST-$R_YEAR$R_MONTH$R_DAY.log"); };
log { source(remote_windows); filter(f_syslog_win_exc); destination(d_syslog_win_exc); };
Jun 9 14:51:33 11.22.33.44 1084 <133>1 2015-06-09T14:51:33+02:00 win_server_2k8 Microsoft_Windows_security_auditing. 508 - [win@18372.4 EVENT_CATEGORY="User Account Management" EVENT_FACILITY="16" EVENT_ID="4725" EVENT_LEVEL="0" EVENT_NAME="Security" EVENT_REC_NUM="210139" EVENT_SID="N/A" EVENT_SOURCE="Microsoft Windows security auditing." EVENT_TASK="User Account Management" EVENT_TYPE="Success Audit" EVENT_USERNAME="win_server_2k8\\syslog-user"][meta sequenceId="3" sysUpTime="14899"]
Jun 9 14:51:33 4725 Security win_server_2k8\syslog-user User Success Audit win_server_2k8 User Account Management A user account was disabled.
Jun 9 14:51:33 11.22.33.44 Subject:
Jun 9 14:51:33 11.22.33.44 Security ID: win_server_2k8\test
Jun 9 14:51:33 11.22.33.44 Account Name: test
Jun 9 14:51:33 11.22.33.44 Account Domain: win_server_2k8 210139 A user account was disabled.
Jun 9 14:51:33 11.22.33.44 Subject:
Jun 9 14:51:33 11.22.33.44 Security ID: win_server_2k8\test
Jun 9 14:51:33 11.22.33.44 Account Name: test
最佳答案
默认情况下,syslog-ng Windows 代理使用新的 RFC5424 协议(protocol)发送日志。接收方似乎使用旧版系统日志协议(protocol)。您应该在接收端使用 syslog() 源而不是 tcp(),这样可以妥善处理多行消息。
关于windows - logging syslog-ng 以多行记录 Windows 日志,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30734342/