У меня есть централизованная система syslog-ng, которая берет каналы с разных серверов и помещает их в хранилище. К счастью, я думал о будущем, и у меня есть каждая система, входящая в свой порт, что помогает мне определить, какой трафик есть.Как расшифровать трафик с syslog-ng на syslog
Мне нужно отправить часть этого трафика сетевому датчику, работающему с rsyslogd. Но этот датчик только прослушивает 514, и я не могу это изменить. Но мне нужно, чтобы ящик rsyslogd мог разделить трафик и знать, откуда он пришел, изначально, чтобы я мог применить правильное переписывание и отправку на программное обеспечение на сенсор (в основном, чтобы создать шаблон).
Как я могу это сделать? Я знаю, что в блоке syslog-ng есть тегирование, но из того, что я вижу, на самом деле не работает для исходящего трафика UDP.
Спасибо за ответ Peter. Я пробовал это. У меня есть spoof-source (yes) set и перекомпилирован syslog-ng с флагом -enable-spoof-source. Но, похоже, это не работает. – jasonmclose
Я также попытался добавить тэг в сообщение на стороне syslog-ng, а затем с помощью 'if $ msg содержит 'mytag'' в .conf-файле на стороне rsylog.d, но это, похоже, не работает также. Я могу tcpdump трафик и видеть тег в сообщении, но rsyslogd не вытаскивает трафик и помещает его в файл журнала, который я хочу. – jasonmclose
Привет, к сожалению, теги не являются частью сообщения по умолчанию. Чтобы отправить теги в пункт назначения, вы должны явно разместить их в шаблоне назначения. –