Hallo zusammen,
ich habe mit den letzten Betas beobachtet, das im Syslogbereich sich ein Router und ein AP unterschiedlich bei der Meldungsklassifizierung verhalten:
FW 9.10.0511, beide senden an den gleichen Syslog Server (Qnap) ihre jeweiligen Meldungen, allerdings ist auffällig das die Daten des Routers (1781VA) so formatiert sind das der Syslogserver den Hostname (sollte eigentlich die IP des Routers sein) mit der Messageklassifizierung gleich setzt, während es beim AP (L460agn) korrekt ist, siehe Screenshot.
Das Device mit der 192.168.29.5 ist der AP und meldet sich ganz normal, das Device mit Hostname SYSTEM_DEBUG,PACKET_ALERT etc. ist eigentlich eine 192.168.x.x
Die Settings selber in den Geräten sind identisch, any idea?
Gruß,
Syslog Probleme mit 9.10.0511 und älter
Moderator: Lancom-Systems Moderatoren
-
marsbewohner
- Beiträge: 532
- Registriert: 27 Mär 2007, 13:17
Syslog Probleme mit 9.10.0511 und älter
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Syslog Probleme mit 9.10.0511 und älter
Danke fuer das Feedback, ich habe es als Bug eingetragen.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Re: Syslog Probleme mit 9.10.0511 und älter
Hi,
der Aufbau einer Syslog-Message ist immer gleich:
<Prio>FacilityName_PrioName: Message
z.B.
<163>SYSTEM_ERROR: error-message
da seit langer Zeit am Syslog Code nichts mehr geaendert wurde, kann das Problem in der Auswertung nur am Programm liegen.
Der Syslog-RFC schreibt vor, wie die Message auszuwerten ist (sie ist leider extrem flexibel und daher ist es schon erstaunlich, dass es ueberhaupt klappt):
Nach der Priorität in spitzen Klammern kann ein Timestamp der Form "%s %2d %02d:%20d:02d" (Monat mit 3 Buchstaben, Tag ohne fuehrende 0 und Uhrzeit mit fuehrenden Nullen, z.B. Dec 1 09:02:07). Danach kann durch ein Leerzeichen abgesetzt der Hostname stehen (ohne Leerzeichen im Namen, aber gefolgt von einem Leerzeichen) danach muss die Anwendung (ohne Leerzeichen) stehen, gefolgt von einem Doppelpunkt und einem Leerzeichen. Der Rest ist die Klartext- Message. Das LANCOM verzichtet auf Timestamp und Hostname, wodurch der Syslog-Client eigene Werte dafuer verwendet.
Vielleicht verhaspelt sich die Anwendung ja beim Zaehlen der Doppelpunkte...
Du kannst gerne einen Wireshark-Trace davon machen (moeglichst ohne sonstigen Traffic)...
Hast Du evtl. ein Update der QNAP Firmware vorgenommen, bevor das Verhalten aufgetreten ist?
Ciao
LoUiS
der Aufbau einer Syslog-Message ist immer gleich:
<Prio>FacilityName_PrioName: Message
z.B.
<163>SYSTEM_ERROR: error-message
da seit langer Zeit am Syslog Code nichts mehr geaendert wurde, kann das Problem in der Auswertung nur am Programm liegen.
Der Syslog-RFC schreibt vor, wie die Message auszuwerten ist (sie ist leider extrem flexibel und daher ist es schon erstaunlich, dass es ueberhaupt klappt):
Nach der Priorität in spitzen Klammern kann ein Timestamp der Form "%s %2d %02d:%20d:02d" (Monat mit 3 Buchstaben, Tag ohne fuehrende 0 und Uhrzeit mit fuehrenden Nullen, z.B. Dec 1 09:02:07). Danach kann durch ein Leerzeichen abgesetzt der Hostname stehen (ohne Leerzeichen im Namen, aber gefolgt von einem Leerzeichen) danach muss die Anwendung (ohne Leerzeichen) stehen, gefolgt von einem Doppelpunkt und einem Leerzeichen. Der Rest ist die Klartext- Message. Das LANCOM verzichtet auf Timestamp und Hostname, wodurch der Syslog-Client eigene Werte dafuer verwendet.
Vielleicht verhaspelt sich die Anwendung ja beim Zaehlen der Doppelpunkte...
Du kannst gerne einen Wireshark-Trace davon machen (moeglichst ohne sonstigen Traffic)...
Hast Du evtl. ein Update der QNAP Firmware vorgenommen, bevor das Verhalten aufgetreten ist?
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
-
marsbewohner
- Beiträge: 532
- Registriert: 27 Mär 2007, 13:17
Re: Syslog Probleme mit 9.10.0511 und älter
Hi,
danke für die Erläuterung. Ich habe jetzt gerade noch mal geschaut, in das Setup laufen 2 APs und 1 Router, beide APs klappen, nur der Router hat das genannte "Problem". Das Qnap hat die letzte 4.2.x Firmware installiert, allerdings nutze ich das Feature noch nicht so lange, weshalb mir jetzt historische Daten zum Vergleich fehlen.
Den Wireshark kann ich gerne mal machen, wobei ich erst mal schauen muss ob ich den Port Mirroren kann....
Gruß,
danke für die Erläuterung. Ich habe jetzt gerade noch mal geschaut, in das Setup laufen 2 APs und 1 Router, beide APs klappen, nur der Router hat das genannte "Problem". Das Qnap hat die letzte 4.2.x Firmware installiert, allerdings nutze ich das Feature noch nicht so lange, weshalb mir jetzt historische Daten zum Vergleich fehlen.
Den Wireshark kann ich gerne mal machen, wobei ich erst mal schauen muss ob ich den Port Mirroren kann....
Gruß,
-
marsbewohner
- Beiträge: 532
- Registriert: 27 Mär 2007, 13:17
Re: Syslog Probleme mit 9.10.0511 und älter
Hi LoUiS,
ich habe jetzt mal ein Ticket dazu bei QNAP aufgemacht, da sich das Verhalten auch mit den letzten Firmware Versionen (QNAP wie auch LANCOM) nicht geändert hat.
Leider kann ich mich allerdings nicht zum Mirroring zwischen Router/AP und dem SYSLOG Server hängen, daher die Frage ob ich die Daten auch anderweitig im relevanten Aufbauformat aus LCOS exportieren kann, über den http Zugang habe ich jetzt gerade nichts passendes gefunden? Der Export aus dem LANmonitor ist ja schon formatiert und nicht mehr im Rohformat...?
Danke & Gruß,
ich habe jetzt mal ein Ticket dazu bei QNAP aufgemacht, da sich das Verhalten auch mit den letzten Firmware Versionen (QNAP wie auch LANCOM) nicht geändert hat.
Leider kann ich mich allerdings nicht zum Mirroring zwischen Router/AP und dem SYSLOG Server hängen, daher die Frage ob ich die Daten auch anderweitig im relevanten Aufbauformat aus LCOS exportieren kann, über den http Zugang habe ich jetzt gerade nichts passendes gefunden? Der Export aus dem LANmonitor ist ja schon formatiert und nicht mehr im Rohformat...?
Danke & Gruß,
Re: Syslog Probleme mit 9.10.0511 und älter
Hi marsbewohner,
Gruß
Backslash
wozu? du kannst doch einfach deinen PC als weiteren Syslog-Server im Router/den APs eintragen und dort entweder tatsächlich einen Syslog-Server aufsetzen oder einfach mit Wireshark die Pakete mitschneiden...Leider kann ich mich allerdings nicht zum Mirroring zwischen Router/AP und dem SYSLOG Server hängen
s.o.daher die Frage ob ich die Daten auch anderweitig im relevanten Aufbauformat aus LCOS exportieren kann, über den http Zugang habe ich jetzt gerade nichts passendes gefunden?
Gruß
Backslash