Syslog-ng仅转发原始日志

时间:2015-03-03 14:03:29

标签: logging syslog-ng

我一直在尝试使用syslog-ng将日志从防火墙转发到SIEM,但问题是我只想转发原始原始日志,而不添加syslog-ng添加的标头。我有以下syslog-ng conf文件。 

@version: 5.2
#Default configuration file for syslog-ng.
#
# For a description of syslog-ng configuration file directives, please read
# the syslog-ng Administrator's guide at:
#
# http://www.balabit.com/sites/default/files/documents/syslog-ng-pe-5.2-       guides/en/syslog-ng-pe-v5.2-guide-admin/html-single/index.html
#
@include "scl.conf"

options {
};

######
# sources
source s_local {
# message generated by Syslog-NG
internal();
};

source s_udp {
udp(ip(X.X.X.X)
flags(no-parse)
port(514));
};

######
#templates

template no_header {
template($MSG); template_escape(no);
};

######
#destinations

destination d_siem {x
syslog("X.X.X.X" port(514) template(no_header));
};

log { source(s_udp); destination(d_siem);};

通过上述内容,我设法删除了大部分syslog-ng的标题,但我无法删除粗体中的以下内容

**531 <13>1 2015-03-03T17:35:12+04:00 X.X.X.X - - - -** <189>date=2015-03-03 time=05:27:43 devname=XXX-X-X device_id=XXXX log_id=XXXX type=XXX subtype=XXX pri=notice vd= src=X.X.X.X src_port=X src_int="XXX" dst=X.X.X.X dst_port=XXX dst_int="XXX" SN=XXXXX status=XXX policyid=X dst_country="XXXX" src_country="XXXX" dir_disp=XXX tran_disp=XXX tran_sip=X.X.X.X tran_sport=XXX service=XXX proto=X duration=XXX sent=XXX rcvd=XXX sent_pkt=XXX rcvd_pkt=XXX

Syslog-ng的文档说明:

$MSGHDR$MSG部分是一起写的,因为$MSGHDR宏包含一个尾随空格。)

如果在我的配置中我将模板从$MSG更改为$MSGHDR,我在 SIEM 中收到的唯一内容如下:

531 <13>1 2015-03-03T17:35:12+04:00 X.X.X.X - - - -

但如果我再次使用$MSG$MSGONLY$MESSAGE,我会得到:

**531 <13>1 2015-03-03T17:35:12+04:00 X.X.X.X - - - -** <189>date=2015-03-03 time=05:27:43 devname=XXX-X-X device_id=XXXX log_id=XXXX type=XXX subtype=XXX pri=notice vd= src=X.X.X.X src_port=X src_int="XXX" dst=X.X.X.X dst_port=XXX dst_int="XXX" SN=XXXXX status=XXX policyid=X dst_country="XXXX" src_country="XXXX" dir_disp=XXX tran_disp=XXX tran_sip=X.X.X.X tran_sport=XXX service=XXX proto=X duration=XXX sent=XXX rcvd=XXX sent_pkt=XXX rcvd_pkt=XXX

我希望syslog-ng只能转发:

<189>date=2015-03-03 time=05:27:43 devname=XXX-X-X device_id=XXXX log_id=XXXX type=XXX subtype=XXX pri=notice vd= src=X.X.X.X src_port=X src_int="XXX" dst=X.X.X.X dst_port=XXX dst_int="XXX" SN=XXXXX status=XXX policyid=X dst_country="XXXX" src_country="XXXX" dir_disp=XXX tran_disp=XXX tran_sip=X.X.X.X tran_sport=XXX service=XXX proto=X duration=XXX sent=XXX rcvd=XXX sent_pkt=XXX rcvd_pkt=XXX

我已经用尽了以下选项:

 options {
 #keep-hostname(yes);
 #chain-hostnames(no);
 #use_fqdn(no);
 #create_dirs(no);
 #long_hostnames(off);
 #flush_lines(0);
 #use-dns(no);
 #keep_timestamp(yes);
 #flags(store-legacy-msghdr);
 };

以上都没有区别。

我在另一个论坛中读到可以使用重写和集合将锁定(不可更改)变量的值放入其他变量中,然后 用PCRE等编辑新变量的值,只包含所需的数据,但我不确定如何实现这一点。

有人可以帮忙解决上述问题吗?

2 个答案:

答案 0 :(得分:2)

您应该使用tcp()目的地而不是syslog()

destination d_siem {
tcp("X.X.X.X" port(514) template(no_header));
};

syslog()用于RFC5424 syslog,tcp用于遗留。

答案 1 :(得分:1)

no_header对我不起作用

<强>配置 

syslog-ng 3.7 
Centos 6.4

以下为我工作,我用了

tcp("*.*.*.*" port(5140) template("$MSG"));
相关问题
最新问题