rsyslog scheint beim Abhören von ddwrt-Syslog-Paketen viele UDP-Port 53-Datagramme zu produzieren

rsyslog scheint beim Abhören von ddwrt-Syslog-Paketen viele UDP-Port 53-Datagramme zu produzieren

Ich versuche, dd-wrt (syslogd über BusyBox) dazu zu bringen, Syslog-Ereignisse an einen Raspberry Pi zu senden, auf dem rsyslog läuft. Wenn ich den rsyslog-Dienst (auf dem Pi) starte, der auf 514 UDP lauscht, beginnt der Daemon, meinen Router auf Port 53 mit Datagrammen zu spammen, die etwas enthalten, das wie DNS-Anfragen aussieht. Wenn ich das unter dd-wrt laufende syslogd ausschalte, scheint der Spam auf Port 53 stark abzunehmen, aber es ist immer noch etwa einer alle 5 oder 6 Sekunden. Wenn syslogd läuft, springt die Zahl auf 20 oder 30 pro Sekunde.

Meine Frage ist: Wie kann ich dieses Spamming abstellen oder beheben? Ist es nur ein Teil des Syslogs, den ich nicht kannte?

Dies ist die rsyslog.conf (entschuldigen Sie die Formatierung, ich bin neu bei Serverfault):

#  /etc/rsyslog.conf    Configuration file for rsyslog.
#
#                       For more information see
#                       /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html



$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog   # provides kernel logging support

$ModLoad imudp
$UDPServerRun 514

# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 10514


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf
###############
#### RULES ####
###############

if $fromhost-ip startswith '192.168.1.1' then /var/log/ddwrt.log

& ~


auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
#cron.*                         /var/log/cron.log
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
lpr.*                           -/var/log/lpr.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log


mail.info                       -/var/log/mail.info
mail.warn                       -/var/log/mail.warn
mail.err                        /var/log/mail.err


news.crit                       /var/log/news/news.crit
news.err                        /var/log/news/news.err
news.notice                     -/var/log/news/news.notice


*.=debug;\
    auth,authpriv.none;\
    news.none;mail.none     -/var/log/debug
*.=info;*.=notice;*.=warn;\
    auth,authpriv.none;\
    cron,daemon.none;\
    mail,news.none          -/var/log/messages


*.emerg                         :omusrmsg:*



daemon.*;mail.*;\
    news.err;\
    *.=debug;*.=info;\
    *.=notice;*.=warn       |/dev/xconsole

Antwort1

rsyslog führt Reverse-Lookups der IP-Adressen von Syslog-Hosts durch.

Sie können dieses Verhalten mit der Befehlszeilenoption rsyslogd deaktivieren -x.

Fügen Sie für Debian-basierte Systeme die Option in der Datei /etc/default/rsyslogzur Shell-Variable hinzu RSYSLOGD_OPTIONS="-x".

verwandte Informationen