论坛徽章:: 1

电梯直达

1楼 [收藏(0)] [报告]

发表于 2016-05-16 10:47 |只看该作者 |倒序浏览

当前准备将防火墙日志收集到一个Centos 7.0上的Syslog-ng 3.5.6上，目前的问题是，在防火墙端已经配置完毕，防火墙用的是5140端口，通过tcpdump抓包，在Syslog-ng 服务器上看到已经有日志过来，但是不知道什么原因，日志没有被记录到对应的/var/log/paloalto/目录里面，麻烦大家看看。

我没有修改默认的syslog-ng.conf文件，只是在conf.d下单独创建了一个firewall.conf

# For PaloAlto firewall

#source s_remote { udp(); };

template filetmpl_fw { template("$DATE $HOST $FACILITY $LEVEL $PROGRAM $MSG\n"); };

source s_firewall {
      udp(ip(0.0.0.0) port(5140));
};

destination d_firewall {
      file("/var/log/paloalto/$HOST-$YEAR$MONTH$DAY.log");
};

filter f_firewall {
      level(debug..emerg);
};

log {
      source(s_firewall);
      filter(f_firewall);
      destination(d_firewall);
};

通过tcpdump抓包，可以看到防火墙日志已经传到Syslog-ng服务器上：

<9b>ÿ^B
<9b>^CüêK^T^T^CùW'<14>May 16 09:53:04 Firewall CEF:0|Palo Alto Networks|PAN-OS|5.0.0|end|TRAFFIC|1|rt=May 16 2016 01:53:03 GMT deviceExternalId=123456789012 src=10.X.X.X dst=192.168.81.116 sourceTranslatedAddress=X.X.X.X destinationTranslatedAddress=192.168.81.116 cs1Label=Rule cs1=Enable application out suser= duser= app=insufficient-data cs3Label=Virtual System cs3=vsys1 cs4Label=Source Zone cs4=trust-zone cs5Label=Destination Zone cs5=untrust-zone deviceInboundInterface=ethernet1/2 deviceOutboundInterface=ethernet1/1 cs6Label=LogProfile cs6=ProSoc cn1Label=SessionID cn1=43211 cnt=1 spt=42039 dpt=3000 sourceTranslatedPort=57410 destinationTranslatedPort=3000 flexString1Label=Flags flexString1=0x400019 proto=udp act=allow flexNumber1Label=Total bytes flexNumber1=86 in=86 out=0 cn2Label=Packets cn2=1 PanOSPacketsReceived=0 PanOSPacketsSent=1 start=May 16 2016 01:53:03 GMT cn3Label=Elapsed time in seconds cn3=0 cs2Label=URL Category cs2=any externalId=11853659580^@ì'9W]r^F^@å^C^@^@å^C^@^@^@PV<86>^HÂ^@^Föê;á^H^@E^@^C×»ˉ@^@?^QdR

文库|博客

返回列表

Chinaunix › 论坛 › 操作系统 › Linux系统管理 › Syslog-ng 3.5.6 无法接收日志的问题

[系统管理] Syslog-ng 3.5.6 无法接收日志的问题 [复制链接]