Recentemente configurei um servidor syslog central. Os logs são organizados em arquivos, em pastas com os nomes das máquinas clientes (usando DNS), e verificados com logcheck.
Algumas das máquinas clientes possuem mais de um sistema operacional (ou seja, Linux e Windows) e acabam tendo o mesmo endereço IP e nome de host. O resultado é que os logs (mensagens) do Windows e os logs do Linux acabaram no mesmo arquivo, deixando a mim e ao logcheck bastante infelizes. Estou interessado em manter os logs de diferentes sistemas operacionais separados.
Minha solução foi fazer com que o syslog escutasse em várias portas e configurar o syslog/rsyslog nas máquinas clientes Linux e Windows para usar um número de porta diferente. Dessa forma, posso redirecionar facilmente os logs em arquivos apropriados de acordo com sua origem.
No entanto, não estou muito convencido da elegância da solução - o nmap pode detectar o sistema operacional cliente através da impressão digital da pilha TCP/IP.
Existe uma maneira de configurar o Syslog-ng para redirecionar os dados recebidos de acordo com o sistema operacional de uma máquina cliente?
Responder1
Sua abordagem com portas diferentes para máquinas Linux e Windows não é nada ruim.
Alternativas:
- usando o programa como destino no syslog-ng (por exemplo, seu script personalizado que verifica o sistema operacional atual da máquina cliente e grava em linux.log ou windows.log) - lento e não confiável.
- usando match(...) no filtro syslog-ng para distinguir entre strings de syslog do Linux e do Windows (não tenho certeza se pode ser fácil e confiável, a menos que você possa colocar alguma substring de marcador no syslog do cliente) e usar esse filtro para selecionar o arquivo de log de destino.
Ambos dificilmente podem ser recomendados.
Ainda outro truque pode ser usar transporte tcp para syslog de clientes Linux e udp - do Windows. Então você pode configurar destinos de arquivos com filtro no protocolo.