miyam****@nttda*****
miyam****@nttda*****
2007年 5月 16日 (水) 15:34:05 JST
Hinemos
宮本です。
本質からは外れますが、
/var/log/secureを監視対象のログに追加したいなら、
syslog-ng.confに
log { source(s_local); filter(f_auth); destination(d_hinemos);};
を追加。
/var/log/secureのログは既にsyslog-ngをとおして出力されています。
syslog-ng.confを"secure"か何かで検索してみてください。
あわせてアプリケーションログ監視ははずしてください。
--
株式会社NTTデータ
基盤システム事業本部 オープンソース開発センタ
宮本 洋輔
miyam****@nttda*****
-----Original Message-----
From: hinem****@lists*****
[mailto:hinem****@lists*****] On Behalf Of 黒津
昭吾
Sent: Wednesday, May 16, 2007 3:19 PM
To: hinem****@lists*****
Subject: [Hinemos-mailing-list 87]ログ転送設定について
はじめして、黒津と申します。お世話になります。
運用管理ツールのなかでも、Hinemosの使いやすさと機能の豊富さに
感心しております。今後の発展を期待しつつ、使用方法を勉強してます。
ログ転送設定についての質問があります。
どなたかわかればお答え頂けますでしょうか。
OSはCentOS4.4でHinemosの各バージョンは最新ではなく2.1.1を
利用しております。syslog-ngでの監視設定について大体使用方法がわかり、
監視できるようになりました。ただし、転送設定のホスト名のところでつまずいてい
ます。
マネージャとエージェントが1台のホストにインストールしてあります。
OSのほうから出力されるログはsyslog-ngの以下の設定でマネージャに転送される
ものと思われます。
log { source(s_local); filter(f_mesg); destination(d_hinemos);};
ssh接続を試してみました。こちらの場合は固有のホスト名(テスト機で
centosという名です)がついてメッセージとして送信されます。
〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・
2007-05-16 14:55:13,432 DEBUG MessageParser - parsed msg
2007-05-16 14:55:13,432 DEBUG MessageParser - 38
2007-05-16 14:55:13,432 DEBUG MessageParser - Sat May 16 14:55:13 JST 1970
2007-05-16 14:55:13,432 DEBUG MessageParser - centos
2007-05-16 14:55:13,433 DEBUG MessageParser - sshd(pam_unix)[22816]: session
clo sed for user kuro
2007-05-16 14:55:13,433 DEBUG MessageParser - Wed May 16 14:55:13 JST 2007
2007-05-16 14:55:13,433 DEBUG LogManager - Process:ssh:<38>May 16 14:55:13
centos sshd(pam_unix)[22816]: session closed for user kuro
〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・
今度は[共通]−[ログ転送]から/var/log/secureをログエージェントで
転送する設定をしました。
ログ転送ではsyslog-ngの以下の設定でマネージャに転送
されるものと思われます。
log { source(s_net); filter(f_mesg); destination(d_hinemos);};
ログ転送のときはホスト名がlocalhostとなってしまいます。
〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・
2007-05-16 14:54:41,484 DEBUG MessageParser - parsed msg
2007-05-16 14:54:41,484 DEBUG MessageParser - 14
2007-05-16 14:54:41,484 DEBUG MessageParser - Sat May 16 14:54:41 JST 1970
2007-05-16 14:54:41,484 DEBUG MessageParser - localhost
2007-05-16 14:54:41,484 DEBUG MessageParser -
hinemos_log_agent(/var/log/secure)
:May 16 14:54:33 centos sshd[29930]: Accepted keyboard-interactive/pam for
kuro from ::ffff:172.16.12.132 port 2536 ssh2
2007-05-16 14:54:41,484 DEBUG MessageParser - Wed May 16 14:54:41 JST 2007
2007-05-16 14:54:41,486 DEBUG LogManager - Process:ssh:<14>May 16 14:54:41
localhost hinemos_log_agent(/var/log/secure):May 16 14:54:33 centos
sshd[29930]: Acce
〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・
他のホストで起動しているHinemosエージェントからログ転送しましたが
やはりlocalhostとしてメッセージは転送されてしまします。
なのでリポジトリ管理でノード名をlocalhostとすれば、ログ転送で送られてきた
ものを監視できるのですが、スコープで管理できなくなってしまいます。
Hinemosの設定で確かめるところがあれば教えてください。
一応、過去のMLの「syslog-ng監視に関して教えてください。」は
http://lists.sourceforge.jp/mailman/archives/hinemos-mailing-list/2007-April
/000072.html
読んで確認しました。
監視自体は成功してるので、もどかしいところです。
_______________________________________________
Hinemos-mailing-list mailing list
Hinem****@lists*****
http://lists.sourceforge.jp/mailman/listinfo/hinemos-mailing-list