splunk預設直接聽514 udp…可是,在某一些層面上,就得把rsyslog本來在聽的514給換port
把syslog換port聽的資訊真的不多
有的網站是說,就在iptable改就行了…執行的結果是真的可以,可是,以我的認為,這樣不算真的改port…因為外部message進來主機時應該還是在514…而不是直接進到其他的port
所以,在syslog的情況下,可以直接改/etc/service…把預設的syslog 514/udp改成其他還沒被拿來用的port…
但我是用rsyslog,直接改/etc/service沒效…
找了很久,只發現幾篇有說要到/etc/sysconfig/rsyslog中改參數,這還真的少…
修改/etc/sysconfig/rsyslog中,SYSLOGD_OPTIONS多加上-r
-r一般我們是知道的,就是如果有別台要丟syslog到這一台的話,那這一台的syslog的參數就要加r…不過,-r後面直接接數字,就可以更改為要聽的port了…
例:-r515,就是聽udp 515port
沒有留言:
張貼留言