ubuntuusers.de

Hallo,

ich verfolge das Ziel einen Syslog Server im Netzwerk bereitzustellen, welcher alle Logs von allen WindowsServern empfängt und pro Server ein eigenes Logfile generiert. Dafür habe ich folgende Ubuntu Server Version ausgewählt:

Ubuntu 16.04 Xenial Ubuntu 16.04.1 LTS

Ebenfalls habe ich ein das Paket Syslog-ng installiert mit: sudo apt-get install syslog-ng. Alles fein.

Nun bin ich der Anleitung auf dieser Seite (https://wiki.ubuntuusers.de/syslog-ng/) gefolgt und habe die Konfigdatei /etc/syslog-ng/syslog-ng.conf bearbeitet. Den Codeinhalt habe ich als .config Datei beigefügt und zusätzlich hier als Text hochgeladen:

http://textuploader.com/dd7hv

Nun habe ich eine Windows10 Testmaschine aufgestzt und dort den Dienst evtsys.exe nach folgender Anleitung (http://www.laub-home.de/wiki/Windows_Eventlog_und_Syslog_Server) installiert und die IPAdresse des Servers und den Port 514 mitgegeben, sodass der Windows10 Client seine Logs an den Syslogserver schicken sollte. Anschließend habe ich den Ubuntu Server neugestartet und den Windows 10 Client zum Absturz gebracht, damit kritische Logs generiert werden, die er dann an den Syslog Server senden sollte. Leider kommt kein Logfile an. Darauf hin habe ich mir mit dem Befehl: netstat -ntlp | grep LISTEN anzeigen lasssen, welche Ports auf dem Syslog Server offen sind (Status LISTEN). Derzeit ist nur der Port 22 für SSH offen. Ich habe schon recherchiert und bin darauf gestoßen, dass der Dienst SYSLOG-NG nicht läuft. Beim Versuch diesen zu starten erscheint eine Fehlermeldung die ich als Screenshot angehängt habe. Weiss jemand warum sich der Dienst nicht starten lässt?

Für eure Unterstützung wäre ich sehr dankbar!

VG Tobias

Was sagt denn das Log? Mit dem systemd-Output kann man nichts anfangen...

Welches log in welchem Verzeichnis ?

TOME.Ubuntu schrieb:

Welches log in welchem Verzeichnis ?

Ich vermute mal /var/log/syslog. Du kannst aber auch im systemd Journal gucken:

journalctl -xe

Ich habe das komplette Log Exportiert und als Datei angehängt.

UPDATE: Der Dienst startet nun aber der Port 514 ist nicht geöffnet. Hat jemand eine Idee warum der Port nicht geöffnet ist, obwohl der Dienst läuft?

Ok, ich hab mir gerade mal eine Ubuntu-VM installiert, syslog-ng installiert, und deine Konfiguration hinterlegt. Anschließend hab ich den Dienst neu gestartet – der Fehler tritt erwartungsgemäß auf. Allerdings enthält kein Logfile irgendeine sinnvolle Information. Weder /var/log/messages noch /var/log/syslog, noch das journalctl -xe und auch systemctl status syslog-ng.service. Typisch systemd, meines Erachtens gehört das verboten -.-

Den Fehler sieht man nur, wenn man syslog-ng händisch startet:

root@ubuntu-vm:~# syslog-ng
Error parsing destination, syntax error, unexpected '}', expecting ';' in /etc/syslog-ng/syslog-ng.conf at line 29, column 44:

destination d_w7 { file("/var/log/w7.log") };
                                           ^

syslog-ng documentation: http://www.balabit.com/support/documentation/?product=syslog-ng
mailing list: https://lists.balabit.hu/mailman/listinfo/syslog-ng

Ich denke den Syntax-Fehler kannst du selbst beheben.

misterunknown schrieb:

Ok, ich hab mir gerade mal eine Ubuntu-VM installiert, syslog-ng installiert, und deine Konfiguration hinterlegt. Anschließend hab ich den Dienst neu gestartet – der Fehler tritt erwartungsgemäß auf. Allerdings enthält kein Logfile irgendeine sinnvolle Information. Weder /var/log/messages noch /var/log/syslog, noch das journalctl -xe und auch systemctl status syslog-ng.service. Typisch systemd, meines Erachtens gehört das verboten -.-

Den Fehler sieht man nur, wenn man syslog-ng händisch startet:

root@ubuntu-vm:~# syslog-ng
Error parsing destination, syntax error, unexpected '}', expecting ';' in /etc/syslog-ng/syslog-ng.conf at line 29, column 44:

destination d_w7 { file("/var/log/w7.log") };
                                           ^

syslog-ng documentation: http://www.balabit.com/support/documentation/?product=syslog-ng
mailing list: https://lists.balabit.hu/mailman/listinfo/syslog-ng

Ich denke den Syntax-Fehler kannst du selbst beheben.

ich habe das Leerzeichen gelöscht aber dennoch ist der port nicht offen und es kommt kein log an. Der Dienst syslog-ng läuft. Was kann ich denn noch Testen, um das PRoblem genauer zu identifizieren?

TOME.Ubuntu schrieb:

ich habe das Leerzeichen gelöscht

Die Fehlermeldung besagt, dass ein ; erwartet wurde, aber ein } gefunden wurde. Also koennte man ein ; einfuegen...

Ok. Dann ist die Anleitung falsch auf der Seite welche ich oben gepostet habe. Schade. Die Syntax Prüfung über die Funktion Syslog-Ng --Syntax-only hat ebenfalls Keinen Fehler zurück gegebenen.

TOME.Ubuntu schrieb:

Ok. Dann ist die Anleitung falsch auf der Seite welche ich oben gepostet habe. Schade. Die Syntax Prüfung über die Funktion Syslog-Ng --Syntax-only hat ebenfalls Keinen Fehler zurück gegebenen.

Funktioniert es denn, wenn du das Semikolon einfügst? Wenn ja, kannst du den Thread auf gelöst setzen.