我有一个集中式的syslog-ng系统,它从各种服务器接收数据并将其存入存储。幸运的是,我正在思考,每个系统都在自己的端口进入,这有助于我描述哪个流量是哪个。
我需要将一些流量发送到运行rsyslogd的网络传感器。但是那个传感器只在514上听,我无法改变它。但我需要rsyslogd框能够分开流量,并知道它来自哪里,以便我可以应用正确的重写并发送到传感器上的软件(基本上,模板化所有)。 / p>
我该怎么做?我知道syslog-ng框上有标记,但从我看到的情况来看,这实际上并不适用于出站UDP流量。
答案 0 :(得分:0)
如果使用UDP,则可以使用syslog-ng的spoof-source()选项。它需要一个用libnet编译的syslog-ng包。有关详细信息,请查看https://www.balabit.com/sites/default/files/documents/syslog-ng-ose-3.7-guides/en/syslog-ng-ose-v3.7-guide-admin/html-single/index.html
上的文档