因 FreeBSD 的 syslog 送出格式採用 RFC3164, 當 log 資料送到 graylog 後, 會產生無法正常解析

如下

重點是沒有 hostname, 導致 graylog 把 sshd[xxxxx] 當成 hosthame

問了 google 大神後, 發現幾篇文章
Syslog messages from FreeBSD not parsed correctly
Bug 220246 – syslogd does not send RFC3164-conformant messages
Graylog and FreeBSD’s Default Syslog

簡單講, 因 FreeBSD 用 RFC3164 格式, 已經無法再修改, 因 code 已被改壞, 預計 15-CURRENT 才能正式修復

所以改用 RFC5424 格式後, 就能正式解析, 如下

從圖片中可以發現已能正常解析 hostname 為 Gateway, 但相對 /var/log/messages 格式就變成很不認識, 如下

但問題算是解決, 改到 graylog 裡比較好處理分析

讓 FreeBSD 能把 syslog 資料正常送到 graylog 裡

No related posts.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料

Verified by MonsterInsights