這幾天在研究如何使用syslog去收集server及設備的log 測試環境如下: centos 6.5 (rsyslog server): 192.168.2.25, 192.168.218.129 linux mint (client): 192.168.2.32 windows 7 (client): 192.168.2.5 GNS3 ASA 8.4.2 (client): 192.168.218.135 (client端都是VM) 防火牆跟SElinux還有防毒都全關 名稱解析每台都沒問題 server上的rsyslog.conf內有修改的設定是 $Modload imudp.so $UDPServerrun 514 . . . +mint(hostname) *.* /var/log/mint.log (其他台是類似設定) 透過wireshark抓封包發現client都有送出syslog往server 但是在server端使用tcpdump只有看到mint這台的資訊有進來 檔案也只有記錄到mint這台 在網路上尋找文章發現另一種設定方式 if $fromhost-ip startswith '192.168.2.5' then /var/log/windows.log & ~ 因為是第一次使用 目前對於+$hostname 及 if這兩種設定方式的不同點還不太懂 換成if這種設定方法在公司測試就可接收到windows及網路設備的log 但是家裡電腦測試又不成功(兩種設定方法都失敗) 一樣是wireshark抓的到封包 但是tcpdump就沒有 進來的也是只有mint 不知道有沒有前輩能指點迷津 可以的話 希望能指點小弟這兩種設定方法的差異性 感謝花您寶貴的時間看完 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.134.21.236 ※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1418056401.A.7D8.html