Запуск OSX в качестве сервера системного журнала

3461
Iain

Я хочу получать журналы от моего маршрутизатора (ASUS RT68U) на моем ноутбуке (OSX 10.9). Он поддерживает системный журнал, а OSX имеет ASL (очевидно, расширенный набор системных журналов). Я следовал инструкциям в OS X Lion как сервер системного журнала, но Консоль ничего не показывает в / var / log / network (хотя каталог действительно показывает).

Шаги, которые я предпринял:

  • Установите IP-адрес моего ноутбука на странице администратора маршрутизатора для системного журнала.
  • Обновлен список системных журналов для прослушивания в сети.
  • Создан каталог (/ var / log / network) для входа.

Здесь я немного отклоняюсь от инструкций, как со многими вещами в / etc в OSX, если у него также есть структура подпапок, вам лучше добавить туда свою конфигурацию и оставить основной. Так,

  • Добавлен ASL конф. Вот где я думаю, что проблема заключается.

/ И т.д. / над уровнем моря / маршрутизатор ASUS-

# Asus router logs ? [A= Host router.asus.com] store_directory /var/log/network uid=0 gid=20 mode=0644 format=bsd rotate=seq compress file_max=5M all_max=50M # I've also tried: #? [= Host 192.168.1.1] … #? [A= Host 192.168.1.1] … #? [= Host router.asus.com] … #? [= Sender router.asus.com] … #? [A= Sender router.asus.com] … #? [= IP router.asus.com] … #? [A= IP router.asus.com] …
  • Выгрузил и загрузил список системных журналов, чтобы получить новый файл conf.
  • Вход в роутер через SSH. Это услужливо добавляет запись журнала, и я получил следующую информацию:

ssh'd в роутер

nvram show | grep log_level size: 50509 bytes (15027 left) log_level=6  ps | grep syslog 9358 iain 1488 S /sbin/syslogd -m 0 -S -O /tmp/syslog.log -s 256 -l 6 -R 192.168.1.140:514 -L

Наконец я выключил брандмауэр и побежал sudo tcpdump udp port 514. Я вижу входящие журналы, но в консоли ничего не отображается, даже если я перезагружаю plist.

06:21:38.983497 IP router.asus.com.40420 > iains-air.syslog: SYSLOG authpriv.info, length: 86

Я даже взглянул на RFC5424, чтобы посмотреть, смогу ли я понять, как я могу сопоставить имя хоста, но, как и всегда, с RFC, они довольно абстрактны. Единственное, что я могу подумать, это отредактировать /etc/syslog.conf, но я не знаю с чем.

Любые предложения или идеи будут с благодарностью приняты.

4
Конфигурация маршрутизатора [описана здесь] (https://fatmin.com/2015/01/04/configure-syslog-logging-levels-on-the-asus-rt-ac66u-router/) и OSX [является здесь] (http://meinit.nl/enable-an-apple-mac-os-x-machine-as-a-syslog-server). Добавьте информацию к сообщению, если это не работает. harrymc 7 лет назад 1
@harrymc Добавить нечего, потому что единственное, что я не сделал, - это добавление строки в /etc/syslog.conf, что я сделал, но ничего не произошло, но в файле conf есть "# Обратите внимание, что журналы плоских файлов теперь настроен в /etc/asl.conf ", поэтому кажется, что строка в любом случае не нужна. Я думаю, что проблема заключается в asl conf, но найти хорошие примеры для этого сложно. Iain 7 лет назад 0
@harrymc Это тот, который я связал в верхней части моего вопроса ;-) Iain 7 лет назад 0
Oups. Вы проследили, чтобы увидеть, где проблема? Выбор между маршрутизатором, не отправляющим, или игнорирующим OSX (или оба). Я также искал бы все файлы с `asl` в их имени. harrymc 7 лет назад 0
На Mac запустите `sudo lsof -nPi 4 | grep: 514`, чтобы увидеть, действительно ли что-либо прослушивает порт системного журнала (514 / UDP). Если нет, то вы, возможно, не отредактировали свой список syslogd launchctl plist или не выгружали и не перезагружали его. Spiff 7 лет назад 0
@ Спифф Спасибо. Эта команда показывает, что как launchd, так и syslogd прослушивают. Я думаю, что это должно выглядеть так, как launchd, вероятно, настраивается и передает syslog, но, возможно, launchd должен перестать быть слушателем? Я проверил, что plist действителен и выгружен, а затем загружен с помощью launchctl. Iain 7 лет назад 0

0 ответов на вопрос

Похожие вопросы