Syslog-ng 3.5.6 無法接收日志的問題

smallfish

當(dāng)前準(zhǔn)備將防火墻日志收集到一個Centos 7.0上的Syslog-ng 3.5.6上，目前的問題是，在防火墻端已經(jīng)配置完畢，防火墻用的是5140端口，通過tcpdump抓包，在Syslog-ng 服務(wù)器上看到已經(jīng)有日志過來，但是不知道什么原因，日志沒有被記錄到對應(yīng)的/var/log/paloalto/目錄里面，麻煩大家看看。

我沒有修改默認的syslog-ng.conf文件，只是在conf.d下單獨創(chuàng)建了一個firewall.conf

# For PaloAlto firewall


#source s_remote { udp(); };


template filetmpl_fw { template("$DATE $HOST $FACILITY $LEVEL $PROGRAM $MSG\n"); };

source s_firewall {
        udp(ip(0.0.0.0) port(5140));
};

destination d_firewall {
        file("/var/log/paloalto/$HOST-$YEAR$MONTH$DAY.log");
};

filter f_firewall {
        level(debug..emerg);
};

log {
        source(s_firewall);
        filter(f_firewall);
        destination(d_firewall);
};


通過tcpdump抓包，可以看到防火墻日志已經(jīng)傳到Syslog-ng服務(wù)器上：


<9b>ÿ^B
<9b>^CüêK^T^T^CùW'<14>May 16 09:53:04 Firewall CEF:0|Palo Alto Networks|PAN-OS|5.0.0|end|TRAFFIC|1|rt=May 16 2016 01:53:03 GMT deviceExternalId=123456789012 src=10.X.X.X dst=192.168.81.116 sourceTranslatedAddress=X.X.X.X destinationTranslatedAddress=192.168.81.116 cs1Label=Rule cs1=Enable application out suser= duser= app=insufficient-data cs3Label=Virtual System cs3=vsys1 cs4Label=Source Zone cs4=trust-zone cs5Label=Destination Zone cs5=untrust-zone deviceInboundInterface=ethernet1/2 deviceOutboundInterface=ethernet1/1 cs6Label=LogProfile cs6=ProSoc cn1Label=SessionID cn1=43211 cnt=1 spt=42039 dpt=3000 sourceTranslatedPort=57410 destinationTranslatedPort=3000 flexString1Label=Flags flexString1=0x400019 proto=udp act=allow flexNumber1Label=Total bytes flexNumber1=86 in=86 out=0 cn2Label=Packets cn2=1 PanOSPacketsReceived=0 PanOSPacketsSent=1 start=May 16 2016 01:53:03 GMT cn3Label=Elapsed time in seconds cn3=0 cs2Label=URL Category cs2=any externalId=11853659580^@ì'9W]r^F^@å^C^@^@å^C^@^@^@PV<86>^HÂ^@^Föê;á^H^@E^@^C×»ˉ@^@?^QdR