Syslog-ng und logwatch

[Linus]

Hallo,
ich habe auf einer Linux Box einen zentralen sylog-Server mit syslog-ng aufgesetzt und dafür gesorgt, dass alle anderen Hosts ihre Logs dorhin schicken. Soweit klappt alles ganz gut.
Allerdings habe ich auch logwatch am laufen und das erkennt antscheindend nicht, dass es log-Daten von mehreren verschiedenen Hosts hat...
Ich bekomme trotz der Option "--hostformat split" immer nur einen gemeinsahmen Output. Logwatch wirft einfach alles zusammen und klebt den Stempel des Hosts, auf dem es läuft drauf.
Hat jemand eine Idee, woran da liegen könnte? Schonmal vielen Dank im Vorraus

 

[bitmuncher]

Läuft dein logwatch mit dem Parameter '--splithosts'?

 

[Linus]

Hallo,
Danke für die schnelle Antwort, aber einen Parameter "--splithosts" gibt es bei mir nicht... Wenn du die Einstellung in der Config meinst, dann ja, habe ich schon probiert.

Edit: Habe nochmal ein paar Tests gemacht, u.a: Das Logfile, in das ein remote-Server loggt in ein extra Verzeichniss kopiert und logwatch dann mit "--logdir /var/log/test" klargemacht, dass er hier suchen soll. Dann habe ich diesen output mit einem OHNE diese Option verglichen. Beide files sind gleich?!? Das würde heißen, dass logwatch die files von den anderen Server ignoriert... Jemand irgendeine Idee?

 

[Linus]

push
Hat vlt. jemand eine Idee, was ich falsch mache?

 

[bitmuncher]

Ohne deine Config zu kennen, wird man das Problem kaum identifizieren können. In Frage käme z.B. auch eine falsche Einstellung für HostLimit o.ä.. Ggf. stimmen auch die Service-Definitionen nicht.

 

[Linus]

Hallo,
ich habe versuchte die Config mal so einfach, wie möglich zu halten:
(/etc/logwatch/conf/logwatch.conf)

SplitHosts = yes
HostLimit = no
MultiEmail = no
Service = -zz-disk_space

Testaufruf: /usr/sbin/logwatch --range 'yesterday' --detail 0

Logs eines anderen Test-Hosts sehen wie folgend aus:

Mar 27 17:59:35 10.2.0.104 sshd[4099]: pam_unix (...)

 

[Linus]

Hallo,
ich bin langsam echt am verzweifeln, habe schon alles mögliche ausprobiert...
Hat vlt. jemand noch eine Idee, was ich falsch machen, oder ob es mit meinem Setup überhaupt eine Möglichkeit gitb, es zum laufen zu bringen, wenn nein, wie sonst.
Schonmal vielen Dank!

 

[Linus]

Hallo,
auch, wenn das Thema schon wieder ein wenig älter ist, muss ich es wieder aufwärmen..
Das Problem besteht weiterhinn. Kann vlt. jemand, der logwatch auf einem Syslog-Server einsetzt seine Config-Files posten. Ich wäre euch sehr dankbar!