rsyslog 在偵聽 ddwrt syslog 封包時似乎會產生大量 UDP 連接埠 53 封包

tag-icon tag-icon debian debian-wheezy dd-wrt
rsyslog 在偵聽 ddwrt syslog 封包時似乎會產生大量 UDP 連接埠 53 封包

我試圖讓 dd-wrt ​​(透過 BusyBox 的 syslogd)將 syslog 事件傳送到執行 rsyslog 的 Raspberry Pi。當我啟動 rsyslog(在 Pi 上)服務偵聽 514 UDP 時,守護程序開始在連接埠 53 上向我的路由器發送垃圾郵件,其中包含看起來像 DNS 請求的資料封包。如果我關閉在 dd-wrt ​​上運行的 syslogd,連接埠 53 的垃圾郵件似乎會大大減少,但仍約為每 5 或 6 秒 1 封。當 syslogd 運行時,該數字會躍升至每秒 20 或 30。

我的問題是:如何關閉或修正這種垃圾郵件?這只是我不知道的系統日誌的一部分嗎?

這是 rsyslog.conf (請原諒格式,我是 serverfault 的新手):

#  /etc/rsyslog.conf    Configuration file for rsyslog.
#
#                       For more information see
#                       /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html



$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog   # provides kernel logging support

$ModLoad imudp
$UDPServerRun 514

# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 10514


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf
###############
#### RULES ####
###############

if $fromhost-ip startswith '192.168.1.1' then /var/log/ddwrt.log

& ~


auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
#cron.*                         /var/log/cron.log
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
lpr.*                           -/var/log/lpr.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log


mail.info                       -/var/log/mail.info
mail.warn                       -/var/log/mail.warn
mail.err                        /var/log/mail.err


news.crit                       /var/log/news/news.crit
news.err                        /var/log/news/news.err
news.notice                     -/var/log/news/news.notice


*.=debug;\
    auth,authpriv.none;\
    news.none;mail.none     -/var/log/debug
*.=info;*.=notice;*.=warn;\
    auth,authpriv.none;\
    cron,daemon.none;\
    mail,news.none          -/var/log/messages


*.emerg                         :omusrmsg:*



daemon.*;mail.*;\
    news.err;\
    *.=debug;*.=info;\
    *.=notice;*.=warn       |/dev/xconsole

答案1

rsyslog 會對 syslog 主機的 IP 位址進行反向尋找。

您可以使用 rsyslogd 命令列選項來停用此行為-x

對於基於 Debian 的系統,將檔案中的選項加入/etc/default/rsyslogshell 變數中RSYSLOGD_OPTIONS="-x"

相關內容