Hello,
Just to complete my message, i keep the following error
Could not create tcp listener, ignoring port 10516 bind-address **UNSPECIFIED**. [v8.2112.0 try
https://www.rsyslog.com/e/2077 ]
My configuration is
# cat rsyslog.conf
$MaxMessageSize 64k
# rsyslog configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
#### MODULES ####
# The imjournal module bellow is now used as a message source instead of imuxsock.
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
#$ModLoad imklog # reads kernel messages (the same are read from journald)
#$ModLoad immark # provides --MARK-- message capability
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
template(name="TmplAuthpriv" type="string"
string="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
)
template(name="TmplMsg" type="string"
string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
)
#module(load="imtcp")
#INPUT
ruleset(name="flux514"){
action(type="omfile" file="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log")
}
input(type="imtcp" port="514" ruleset="flux514")
# process remote messages
#$template RemoteLogs,"/data/log/%HOSTNAME%/%PROGRAMNAME%.log"
#$template RemoteLogs,"/data/log/%FROMHOST-IP%/%PROGRAMNAME%.log"
#if ($FROMHOST-IP != "127.0.0.1" ) then -?RemoteLogs
#& stop
#*.* ?RemoteLogs
#& stop
#### GLOBAL DIRECTIVES ####
# Where to place auxiliary files
$WorkDirectory /var/lib/rsyslog
# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#$ActionFileEnableSync on
# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf
# Turn off message reception via local log socket;
# local messages are retrieved through imjournal now.
$OmitLocalLogging on
# File to store the position in the journal
$IMJournalStateFile imjournal.state
#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
#*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
#authpriv.* /var/log/secure
# Log all the mail messages in one place.
#mail.* -/var/log/maillog
# Log cron stuff
-----Message d'origine-----
De : rsyslog <rsyslog-bounces@lists.adiscon.com> De la part de DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog
Envoyé : mardi 11 janvier 2022 16:05
À : rsyslog-users <rsyslog@lists.adiscon.com>
Cc : DESSEAUX Samuel (Gaz Réseau Distribution France) <samuel.desseaux@externe.grdf.fr>
Objet : Re: [rsyslog] probleme configuration multiport rsyslog
Here is my config
$MaxMessageSize 64k
# rsyslog configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
#### MODULES ####
# The imjournal module bellow is now used as a message source instead of imuxsock.
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imjournal # provides access to the systemd journal #$ModLoad imklog # reads kernel messages (the same are read from journald) #$ModLoad immark # provides --MARK-- message capability # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
template(name="TmplAuthpriv" type="string"
string="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
)
template(name="TmplMsg" type="string"
string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
)
module(load="imtcp")
#INPUT
ruleset(name="flux514"){
action(type="omfile" file="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log")
}
input(type="imtcp" port="514" ruleset="flux514")
#$template Remote10515,"/data/log/10515/10515.log"
#
##$RuleSet Remote10515
##*.* -?Remote10515
#$InputTCPServerBindRuleset Remote10515
##$TCPServerRun 10515
#$template Remote10516,"/data/log/10516/10516.log"
##
###$RuleSet Remote10516
###*.* -?Remote10516
#
##$InputTCPServerBindRuleset Remote10516 ###$TCPServerRun 10516 #
# process remote messages
#$template RemoteLogs,"/data/log/%HOSTNAME%/%PROGRAMNAME%.log"
$template RemoteLogs,"/data/log/%FROMHOST-IP%/%PROGRAMNAME%.log"
if ($FROMHOST-IP != "127.0.0.1" ) then -?RemoteLogs #& stop
*.* ?RemoteLogs
& stop
#### GLOBAL DIRECTIVES ####
# Where to place auxiliary files
$WorkDirectory /var/lib/rsyslog
# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# File syncing capability is disabled by default. This feature is usually not required, # not useful and an extreme performance hit #$ActionFileEnableSync on
# Include all config files in /etc/rsyslog.d/ $IncludeConfig /etc/rsyslog.d/*.conf
# Turn off message reception via local log socket; # local messages are retrieved through imjournal now.
$OmitLocalLogging on
# File to store the position in the journal $IMJournalStateFile imjournal.state
#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
#*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
#authpriv.* /var/log/secure
# Log all the mail messages in one place.
#mail.* -/var/log/maillog
# Log cron stuff
#cron.* /var/log/cron
# Everybody gets emergency messages
#*.emerg :omusrmsg:*
# Save news errors of level crit and higher in a special file.
#uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
#local7.* /var/log/boot.log
# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding # rule. They belong together, do NOT split them. If you create multiple # forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery) # # An on-disk queue is created for this action. If the remote host is # down, messages are spooled to disk and sent when it is up again.
$ActionQueueFileName fwdRule1 # unique name prefix for spool files
$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
$ActionQueueType LinkedList # run asynchronously
$ActionResumeRetryCount -1 # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###
In /etc/rsyslog.d, i have created
*one file to indicate on which ports rsyslog can listen
module(load="imtcp")
input(
type="imtcp"
port="10514"
)
input(
type="imtcp"
port="10515"
)
input(
type="imtcp"
port="10516"
)
* a file for a dedicate rule (i've following this page
https://supratim-sanyal.blogspot.com/2020/01/a-multi-port-remote-rsyslog-log-server.html?_sm_au_=iVV5vrMvfjN7JZJTKLcHLK0KBjTB6)
An idea? I don't find the way to solve the problem.
Best regards
Samuel Desseaux
Direction des Systèmes d’Information / Domaine Ingénierie / Architecture et Expertise Outillage
Architecte ELK
95, rue de Maubeuge
75009 Paris - France
Tel : 07 49 95 94 14
samuel.desseaux@externe.grdf.fr
www.grdf.fr
-----Message d'origine-----
De : rsyslog <rsyslog-bounces@lists.adiscon.com> De la part de Mariusz Kruk via rsyslog Envoyé : mardi 11 janvier 2022 16:02 À : rsyslog@lists.adiscon.com Cc : Mariusz Kruk <kruk@epsilon.eu.org> Objet : Re: [rsyslog] probleme configuration multiport rsyslog
Firstly, show us your config :-)
Secondly, you use a very old version.
Thirdly, I suspect you're using some form of legacy config and/or blindly copied config snippets.
On 11.01.2022 15:49, DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog wrote:
> Hello,
>
> I need your help for configuring rsyslog for the following use case
>
> I have many devices and many technologies and each of them have to send their logs on rsyslog.
> Due to the context, i have to configure rsyslog in order to collect
> logs on different ports and send them in a folder
>
> For example, logs come from an ip with 10515 port will be stored in
> /data/log/10515/10515.log
>
> But, something is missing in my configuration because, despite of my
> tests,i find most of the time these errors
>
> netstream session 0x7f2c10005170 from 10.XX.X.X.X (all devices are behind a F5) will be closed due to error [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2165 ]
> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: error: ruleset
> 'log-collect' specified more than once [v8.24.0-52.el7_8.2 try
> http://www.rsyslog.com/e/2306 ] Jan 11 14:33:29 xx.XX.XX.com
> rsyslogd[899]: module 'imtcp' already in this config, cannot be added
> [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2221 ] Jan 11
> 14:33:29 xx.XX.XX.com rsyslogd[899]: Could not create tcp listener,
> ignoring port 10516 bind-address (null). [v8.24.0-52.el7_8.2 try
> http://www.rsyslog.com/e/2077 ] Jan 11 14:33:29 xx.XX.XX.com
> rsyslogd[899]: Could not create tcp listener, ignoring port 10515
> bind-address (null). [v8.24.0-52.el7_8.2 try
> http://www.rsyslog.com/e/2077 ] Jan 11 14:33:29xx.XX.XX.com
> rsyslogd[899]: Could not create tcp listener, ignoring port 514
> bind-address (null). [v8.24.0-52.el7_8.2 try
> http://www.rsyslog.com/e/2077 ]
>
> Thank you for your help
>
> Regards,
>
>
> Samuel Desseaux
> Direction des Systèmes d'Information / Domaine Ingénierie /
> Architecture et Expertise Outillage Architecte ELK
>
> 95, rue de Maubeuge
> 75009 Paris - France
> Tel : 07 49 95 94 14
> samuel.desseaux@externe.grdf.fr<mailto:samuel.desseaux@externe.grdf.fr
> >
> www.grdf.fr<http://www.grdf.fr/>
>
>
> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>
> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de
> contrôles visant à garantir le respect des directives internes,
> protéger les intérêts de l'entreprise et éliminer les éventuels
> logiciels dangereux. Les messages électroniques ne sont pas sécurisés
> et sont susceptibles de comporter des erreurs puisqu'ils peuvent être
> interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute
> personne communiquant avec notre entreprise par message électronique
> accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent
> être vérifiées et sont disponibles sur demande »
>
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE
> WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog http://www.rsyslog.com/professional-services/ What's up with rsyslog? Follow
https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
« Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »
_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog http://www.rsyslog.com/professional-services/ What's up with rsyslog? Follow
https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
« Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »
_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog http://www.rsyslog.com/professional-services/ What's up with rsyslog? Follow
https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.