чудес не бывает

верю

ищу

сейчас попробую перенести порт с 514 на другой. Хотя в rsyslog явно не разрешено по сети слушать

2016-10-11 19:04:28,272 [syslogcollector] Running service syslogcollector (pool: default) это тоже есть?

или pool другой?

p0001 nипа

или pool другой?

нет, default. и слушает на вышеперечисленных портах

Дебаг не помог, только периодично видны [tornado.curl_httpclient] POST http://****.161:19015/api/omap/

Nmap говорит PORT STATE 514/udp open|filtered

так что fw не при чём

в run commands не хватает кнопки add selected, ну и фильтр, видно, что не доделали, но что он будет

главное чтобы была кнопка максималиста, очень просили

Блин, да, не хватает

я вообще просил, но я думал, что она будет делать select в правый столбец

выбрть всё я могу и Ctlr+A

Кто такой товарищ uncol ?

видимо, очень клёвый человек, который подписывается неклёвым никнеймом

да норм

почему его тут нет +)

наверное, чтобы я не доставал

Кто поможет с syslog?

ребятки

нужно проверить, что в nsq попадают события в очередь?

но если при постоянном потоке syslog кол-во msg не меняелся, можно сделать вывод, что не попадает

значит, приколы внутри демона сислога?

вот я сейчас включу встроенный на этот порт, посмотрим.

а это прямой порт или на него редирект/spoofing идет?

Как и ожидалось, всё ок, rsyslog видит и парсит их.

а это прямой порт или на него редирект/spoofing идет?

спуфинг

думаешь, попробовать прямой?

я долго на фре бодался со спуфингом... на 11ой фре, не работал он

не, у меня спуф идёт, всё как надо, в tcpdump и теперь в рсилоге тоже, от нужных хостов всё

select checked - это ж оно :) add selected типа

фильтры остались

Уф, тогда красота

но сислог!

@dvolodin есть идеи, почему демон сислога не отправляет сислоги в nsq?

invalid event source?

порт свободен, на порт приходит всё

invalid event source?

даже не пишет этого

посмотри, что omap ему отдает

./noc rpc omap.get_syslog_sources default

./noc rpc omap.get_syslog_sources default

RPC Error: Invalid method: 'get_syslog_sources'

get_syslog_mappings

./noc rpc omap.get_syslog_mappings default {}

select checked по логике должен обзываться add checked

это значит, что он ничего не ждёт?

именно

и все спускает

там в настройках MO есть комбики для syslog и trap

там в настройках MO есть комбики для syslog и trap

знаю. там везде стоит all sources

добавлял через импорт csv хосты

Я в общем сдаюсь

пулы совпадают?

единственный, default

там management address можно попробовать поставить

all sources требует работы discovery

all sources требует работы discovery

да работает.. Сейчас попробую.

там management address можно попробовать поставить

да, в ./noc rpc omap.get_syslog_mappings default {u'172.24.5.212': 611}

появился адрес

?

Всё как просто было

охренеть просто

мне вот интересно, как он на роутерах будете mamangement определять

у меня тоже management стоит... :)

all sources требует работы discovery

какого-то определённого модуля?

у меня собираются интерфейсы, к примеру. Да почти всё

мне вот интересно, как он на роутерах будете mamangement определять

обычно это mngmt порт или l3 интерфейс в mngmt vrf

обычно это mngmt порт или l3 интерфейс в mngmt vrf

а если это Loopback? и logging source Lo33?

а если это Loopback? и logging source Lo33?

ну и норм

по адресу MO

ты его сам выдал для управления

all sources нужно только для больных железок

которые сыпят логи непонятно откуда

all sources нужно только для больных железок

а где это описано?

по адресу MO

ладно. Скажи пожалуйста, как теперь для всех поменять на management?

массовые операции

воу-воу, точно!

воу-воу, точно!

ты теперь тоже живёшь тут?)

пиздец

Ну, пока не надоест

хороший наркотик

просто мне нравится что-то чинить

у меня дома всё починено

теперь вот нок чиним

массовые операции

К сожалению, там нельзя менять Event sources

они у меня серые поля

гм....

только надо через шелл пробовать

справишься?

справишься?

конечно нет

где я и где шелл

я умею в кнопочки тыкать

в пределах одной консоли

представь что кнопочки - это команды:)

я не умею в эти импорты и прочее

минуту, счас гляну. Может быть, можно и через шелл

Спасибо

их не надо уметь, надо пользоваться