Syslog n'ecoute pas....

Le
xavier
Bonsoir,

Ca fait deux heures que je me casse la tête la dessus : mon démon
syslogd ne reçoit pas les messages.

Pourtant, il est lancé avec les bons paramètres :

> /usr/sbin/syslogd -l /var/run/log -l /var/named/var/run/log
> -a 192.168.0.0/24

Et écoute bien en UDP :

> udp4 0 0 *.514 *.*

Pourtant, quand depuis une machine du réseau j'envoie un message :

> echo "<31>test [42]:test" | nc -v -w0 -u 192.168.0.251 514
(31 = daemon.debug). nc me dit que c'est bien parti.

Si je fais le même test en Perl avec Net::Syslog, j'obtiens le même
non-résultat.

Je ne vois rien dans debug.log, ni dans all.log (qui attrappe *.* dans
syslog.conf). C'est un FreeBSD 8.1 RELEASE et j'avoue que je n'y
comprends plus rien.

Merci,

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Benoit Izac
Le #22685871
Bonjour,

le 17/10/2010 à 20:48, (Xavier) a écrit dans le
message
Ca fait deux heures que je me casse la tête la dessus : mon démon
syslogd ne reçoit pas les messages.

Pourtant, il est lancé avec les bons paramètres :

/usr/sbin/syslogd -l /var/run/log -l /var/named/var/run/log
-a 192.168.0.0/24



Et écoute bien en UDP :

udp4 0 0 *.514 *.*



Pourtant, quand depuis une machine du réseau j'envoie un message :

echo "<31>test [42]:test" | nc -v -w0 -u 192.168.0.251 514


(31 = daemon.debug). nc me dit que c'est bien parti.

Si je fais le même test en Perl avec Net::Syslog, j'obtiens le même
non-résultat.

Je ne vois rien dans debug.log, ni dans all.log (qui attrappe *.* dans
syslog.conf). C'est un FreeBSD 8.1 RELEASE et j'avoue que je n'y
comprends plus rien.



Pas de firewall ?
Que dis tcpdump ? Il voit arriver les paquets ?

--
Benoit Izac
xavier
Le #22685941
Benoit Izac
Pas de firewall ?



Non, c'est de BSD à BSD, sur le même sous-réseau.

Que dis tcpdump ? Il voit arriver les paquets ?



Andouille que je suis, j'étais tellement obnubilé par les fichiers de
logs que je n'ai pas regardé ça. Je vérifie ....

Source :
21:09:25.166818 IP 192.168.0.13.52966 > 192.168.0.251.syslog:
SYSLOG daemon.debug, length: 24


Destination :
21:09:25.166831 IP 192.168.0.251.52966 > 192.168.0.13.syslog:
SYSLOG daemon.debug, length: 24



Donc, c'est bien syslog lui-même qui débloque....

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Benoit Izac
Le #22686051
Bonjour,

le 17/10/2010 à 21:14, (Xavier) a écrit dans le
message
Source :
21:09:25.166818 IP 192.168.0.13.52966 > 192.168.0.251.syslog:
SYSLOG daemon.debug, length: 24


Destination :
21:09:25.166831 IP 192.168.0.251.52966 > 192.168.0.13.syslog:
SYSLOG daemon.debug, length: 24





Étrange la capture, les ports sont croisés ; de plus on ne sait pas si
c'est du TCP ou de l'UDP.

Donc, c'est bien syslog lui-même qui débloque....



Si tu mets un nc à la place de syslog, tu vois bien arriver le paquet ?

--
Benoit Izac
xavier
Le #22686271
Benoit Izac
Étrange la capture, les ports sont croisés ;


Erreur de copier/coller, je n'avais plus accès au terminal d'une des
machines, alors j'ai copié celui de l'autre. Les ports mis à part c'est
exactement ce que j'avais

de plus on ne sait pas si c'est du TCP ou de l'UDP.


Mmmmh. Ca doit être dans ce que je n'ai pas copié.

> Donc, c'est bien syslog lui-même qui débloque....

Si tu mets un nc à la place de syslog, tu vois bien arriver le paquet ?



Je vois les paquets...

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Cyrille Lefevre
Le #22686801
Le 17/10/2010 20:48, Xavier a écrit :
Bonsoir,

Ca fait deux heures que je me casse la tête la dessus : mon démon
syslogd ne reçoit pas les messages.


<snip>
Je ne vois rien dans debug.log, ni dans all.log (qui attrappe *.* dans
syslog.conf). C'est un FreeBSD 8.1 RELEASE et j'avoue que je n'y
comprends plus rien.



Bonjour,

à quoi ressemble ton syslogd.conf sur ler serveur syslog et sur le
serveur client ?

bien entendu, tu as bien mis une/des tabulation/s entre le 1er et le 2nd
champ ?

les fichiers de log existent-il ? sinon, il faut les créer avant de
lancer syslogd.

as-tu essayer l'option -d ?

as-tu essayer sans l'option -b ?

pour envoyer les messages, pourquoi n'utilises-tu pas logger ?

que dit logger en local sur le serveur syslog ? les messages arrivent-ils ?

Cordialement,

Cyrille Lefevre.
--
mailto:Cyrille.Lefevre-news%
supprimer "%nospam% et ".invalid" pour me repondre.
xavier
Le #22689661
Cyrille Lefevre
Bonjour,



Re-bonjour :-)

à quoi ressemble ton syslogd.conf sur ler serveur syslog et sur le
serveur client ?



Sur le serveur syslog, out of the box (juste l'entrée *.* décommentée)

bien entendu, tu as bien mis une/des tabulation/s entre le 1er et le 2nd
champ ?



Eviemment. vi ne s'amuse pas à trasformer les tabs en espaces !

les fichiers de log existent-il ? sinon, il faut les créer avant de
lancer syslogd.



Ils existent.

as-tu essayer l'option -d ?



Pas encore.

as-tu essayer sans l'option -b ?



Avec (écoute sur l'interface du même sous réseau, la machine en a 5)

pour envoyer les messages, pourquoi n'utilises-tu pas logger ?



Parce que logger ne sait pas evoyer autrement qu'au syslog local.

que dit logger en local sur le serveur syslog ? les messages arrivent-ils ?



Oui en local, pas de problème.

Mais je viens de tester avec -d, c'est tout de suite plus explicite :

validate: dgram from IP 192.168.0.254, port 16703, name hardoy.creps-idf.fr;
rejected in rule 0 due to port mismatch.



Merci au blog de l'ami Patpro, MacOSXiste et FreeBSDiste émérite, ça
signifie que mon andouille de Netasq envoie sur des ports aléatoires,
alors que je lui ai pourtant clairement signifié le port syslog dans le
clickodrome. J'avais pas repéré ça dans le tcpdump...

Bon, j'ai mis "-a 192.168.0.254:*" dans syslogd_flags et maintenant,
bingo ! ça marche !

Maintenant, il ne me reste plus qu'à écrire le script Perl qui va
stocker tout ce verbiage dans une base SQL, et le garder un an,
conformément à la circulaire ministérielle.

Merci de ta patience,

Cordialement,

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Publicité
Poster une réponse
Anonyme