如何解决重新启动时出现 Syslog-ng 服务错误 - syslog 转发到 Qradar
希望我的问题是在正确的地方。
我目前正在尝试将系统日志从 Ubuntu 机器转发到 Qradar 机器。 他们在同一个网络上,我已经设法让 Rsyslog 工作,但 Qradar 不支持它。因此,我不得不切换到 Syslog-ng。
IBM 官方文档指出,只需在 /etc/syslog-ng/syslog-ng.conf 文件中添加一些行即可:
source qr_source {
internal();
system();
};
filter qr_filter {
facility(auth,authpriv);
};
destination qr_destination {
tcp("<qradar_ip_address>" port(514));
};
log{
source(qr_source);
filter(qr_filter);
destination(qr_destination);
};
不幸的是,当我这样做并且必须重新启动 syslog-ng 时,它会给我错误。
******@****:/etc/syslog-ng$ sudo service syslog-ng restart
Job for syslog-ng.service Failed because the control process exited with error code.
See "systemctl status syslog-ng.service" and "journalctl -xe" for details.
******@*****:/etc/syslog-ng$ syslog-ng
syslog-ng: Error setting capabilities,capability management disabled; error='Operation not permitted'
[2021-05-23T19:53:13.519942] Error opening control socket,bind() Failed; socket='/var/lib/syslog-ng/syslog-ng.ctl',error='Address already in use (98)'
[2021-05-23T19:53:13.536721] Error creating persistent state file; filename='/var/lib/syslog-ng/syslog-ng.persist-',error='Permission denied (13)'
显然我是 sudo 用户。 我还注意到生成错误的代码行是与日志相关的代码。 我确实添加了 SYSLOGNG_OPTS="--no-caps"。 我确实尝试停止并启动而不是重新启动。 我真的不知道如何在这里进行,我有点绝望。 如果有人可以提供任何帮助,我们将不胜感激。
谢谢。
解决方法
我的解决方法有点奇怪。我也很绝望,试图在 docker 容器中运行 syslog-ng。有效的配置如下。将 /etc/default/syslog-ng 中的最后一行替换为 SYSLOGNG_OPTS="--caps cap_sys_admin,cap_chown,cap_dac_override,cap_net_bind_service,cap_fowner=eip"。但是,在执行时运行 syslog-ng --no-caps。我希望你会像我一样惊讶
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
