miyam****@nttda*****
miyam****@nttda*****
2007年 5月 16日 (水) 15:34:05 JST
宮本です。 本質からは外れますが、 /var/log/secureを監視対象のログに追加したいなら、 syslog-ng.confに log { source(s_local); filter(f_auth); destination(d_hinemos);}; を追加。 /var/log/secureのログは既にsyslog-ngをとおして出力されています。 syslog-ng.confを"secure"か何かで検索してみてください。 あわせてアプリケーションログ監視ははずしてください。 -- 株式会社NTTデータ 基盤システム事業本部 オープンソース開発センタ 宮本 洋輔 miyam****@nttda***** -----Original Message----- From: hinem****@lists***** [mailto:hinem****@lists*****] On Behalf Of 黒津 昭吾 Sent: Wednesday, May 16, 2007 3:19 PM To: hinem****@lists***** Subject: [Hinemos-mailing-list 87]ログ転送設定について はじめして、黒津と申します。お世話になります。 運用管理ツールのなかでも、Hinemosの使いやすさと機能の豊富さに 感心しております。今後の発展を期待しつつ、使用方法を勉強してます。 ログ転送設定についての質問があります。 どなたかわかればお答え頂けますでしょうか。 OSはCentOS4.4でHinemosの各バージョンは最新ではなく2.1.1を 利用しております。syslog-ngでの監視設定について大体使用方法がわかり、 監視できるようになりました。ただし、転送設定のホスト名のところでつまずいてい ます。 マネージャとエージェントが1台のホストにインストールしてあります。 OSのほうから出力されるログはsyslog-ngの以下の設定でマネージャに転送される ものと思われます。 log { source(s_local); filter(f_mesg); destination(d_hinemos);}; ssh接続を試してみました。こちらの場合は固有のホスト名(テスト機で centosという名です)がついてメッセージとして送信されます。 〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・ 2007-05-16 14:55:13,432 DEBUG MessageParser - parsed msg 2007-05-16 14:55:13,432 DEBUG MessageParser - 38 2007-05-16 14:55:13,432 DEBUG MessageParser - Sat May 16 14:55:13 JST 1970 2007-05-16 14:55:13,432 DEBUG MessageParser - centos 2007-05-16 14:55:13,433 DEBUG MessageParser - sshd(pam_unix)[22816]: session clo sed for user kuro 2007-05-16 14:55:13,433 DEBUG MessageParser - Wed May 16 14:55:13 JST 2007 2007-05-16 14:55:13,433 DEBUG LogManager - Process:ssh:<38>May 16 14:55:13 centos sshd(pam_unix)[22816]: session closed for user kuro 〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・ 今度は[共通]−[ログ転送]から/var/log/secureをログエージェントで 転送する設定をしました。 ログ転送ではsyslog-ngの以下の設定でマネージャに転送 されるものと思われます。 log { source(s_net); filter(f_mesg); destination(d_hinemos);}; ログ転送のときはホスト名がlocalhostとなってしまいます。 〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・ 2007-05-16 14:54:41,484 DEBUG MessageParser - parsed msg 2007-05-16 14:54:41,484 DEBUG MessageParser - 14 2007-05-16 14:54:41,484 DEBUG MessageParser - Sat May 16 14:54:41 JST 1970 2007-05-16 14:54:41,484 DEBUG MessageParser - localhost 2007-05-16 14:54:41,484 DEBUG MessageParser - hinemos_log_agent(/var/log/secure) :May 16 14:54:33 centos sshd[29930]: Accepted keyboard-interactive/pam for kuro from ::ffff:172.16.12.132 port 2536 ssh2 2007-05-16 14:54:41,484 DEBUG MessageParser - Wed May 16 14:54:41 JST 2007 2007-05-16 14:54:41,486 DEBUG LogManager - Process:ssh:<14>May 16 14:54:41 localhost hinemos_log_agent(/var/log/secure):May 16 14:54:33 centos sshd[29930]: Acce 〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・ 他のホストで起動しているHinemosエージェントからログ転送しましたが やはりlocalhostとしてメッセージは転送されてしまします。 なのでリポジトリ管理でノード名をlocalhostとすれば、ログ転送で送られてきた ものを監視できるのですが、スコープで管理できなくなってしまいます。 Hinemosの設定で確かめるところがあれば教えてください。 一応、過去のMLの「syslog-ng監視に関して教えてください。」は http://lists.sourceforge.jp/mailman/archives/hinemos-mailing-list/2007-April /000072.html 読んで確認しました。 監視自体は成功してるので、もどかしいところです。 _______________________________________________ Hinemos-mailing-list mailing list Hinem****@lists***** http://lists.sourceforge.jp/mailman/listinfo/hinemos-mailing-list