一般情况下,SUSE的日志服务已经安装,程序名为syslog-ng,但默认并不能接收记录Radware日志。

 

我们需要编辑配置文件,并重启服务即可记录Radware日志信息。

 

vi /etc/syslog-ng/syslog-ng.conf

 

编辑配置文件, 将红色部分的的 “#”去掉,使服务器接收UDP 514端口的Syslog消息

 

source src {

       #

       # include internal syslog-ng messages

       # note: the internal() soure is required!

       #

       internal();

 

       #

       # the following line will be replaced by the

       # socket list generated by SuSEconfig using

       # variables from /etc/sysconfig/syslog:

       #

       unix-dgram("/dev/log");

       unix-dgram("/var/lib/dhcp/dev/log");

       unix-dgram("/var/lib/named/dev/log");

 

       #

       # uncomment to process log messages from network:

       #

       udp(ip("0.0.0.0") port(514));

};

 

接着在文件最后面增加下面内容:

 

# add by radware

filter f_info   { level(info); };

destination radware { file("/var/log/radware_log"); };

log { source(src) ; filter(f_info);destination(radware); };

 

红色部分是日志文件名,可根据需要修改。

 

然后重启syslog服务即可。

 

sysconf-ng restart

 

当然,我们还可以做更加高级的配置处理,比如不同的设备吐出的信息写入不同的文件;或者过滤消息的类型,比如只记录info级别以上的消息等。

比如有2ADIP分别为192.168.1.1192.168.1.2。我们希望将AD1的日志写入log_ad_1文件,AD2的日志写入log_ad_2文件。我们可以这样配置

 

source src_ad1{

       udp(ip("192.168.1.1") port(514));

};

 

source src_ad2 {

       udp(ip("192.168.1.2")port(514));

};

 

filter f_info   { level(info); };

 

# log AD_1

destination ad_1{ file("/var/log/log_ad_1"); };

log { source(src_ad1); filter(f_info); destination(ad_1); };

 

# log AD_2

destination ad_2 { file("/var/log/log_ad_2"); };

log { source(src_ad2) ; filter(f_info); destination(ad_2); };