Hallo zusammen,
ich hatte under DSM 6.2.1-23824 verschiedene Probleme mit dem Log Center.
1) Log Center behauptet manchmal, dass es innerhalb einer Sekunde mehr als X Ereignisse empfangen hat. Manchmal bekommt man dazu etliche Notifications (siehe Screenshot). Der Graph in der Übersicht zeigt sogar auch dass eine hohe Anzahl von Ereignissen empfangen wurde, Das Problem ist nur:
Wo findet man diese Ereignisse? Weder im Reiter Logs unter Local noch für andere Server sieht ich einen größere Menge Ereignisse.
Auch in der Übersicht muss nicht etwas zu sehen sein.
Die Lösung des Phänomens ist, wie ich meine, dass DSM auch Ereignisse zählt, die hereinkommen aber nicht geparsed werden können, und daher nicht angezeigt werden.
Desweiteren zeigt Log Center scheinbar nur Ereignisse in der Log-Ansicht an, die _vor_ dem Öffnen des Log Centers eingelaufen sind! Es hilft also, das Fenster von Log Center zu schließene und dann Log Center neu zu öffnen.
2) Ich wollte die Logs von non-Synology-Geräten im Log Center konsolidieren. Leider war in der Log Ansicht und in der Übersicht nichts zu finden.
Die Lösung dieses Problems ist, dass man dasselbe Transportprotokoll wie auf den sendenen Knoten empfangen muss, wenn manche nur UDP und kein TCP können, dann muss man zwei Empfangsregeln einrichten, eine für UDP und eine für TCP. Wenn die Sender nicht per SSL senden können, dann muss bei der TCP-Regel SSL angeschaltet sein. Desweiteren muss die Synology den Log-Header verstehen/parsen können. das IETF-Format hat z.B. für Logs von OpenWRT nicht funktioniert. Hier musste ich BSD wählen. Alternativ kann man eine "Custom Format" Regel erstellen und als Ausdruck ";" verwenden, dann wird schlicht alles übernommen. Bei so einer schlichten Regel ist Log Center allerdings nicht in der Lage die Zeitstempel und Knotennamen korrekt zu erfassen.
Empfehlung wäre also:
Empfangsregel mit: BSD, TCP, kein SSL, 514 (SSL für Syslog können die meisten Geräte nicht. Hat man Geräte, die das können, dann kann man sich noch eine weitere Regel mit BSD TCP SSL auf einem anderen Port einrichten). TCP ist zuverlässiger bei der Zustellugn von Logs. UDP ist eigentlich ungeeignet. Falls es noch ältere Geräte gibt, die nur Syslog nur per UDP, aber kein TCP beherrschen, dann richtet man sich noch eine Regel ein mit "BSD, UDP, 514".
Schließlich sollte man noch den Sendern beibrigen, dass keine Info oder Notice Meldungen geschickt werden sollen, sonst kommt es wieder zu sinnlosen Notifications.
Ich hoffe das hilft euch.
Cheers
JC
ich hatte under DSM 6.2.1-23824 verschiedene Probleme mit dem Log Center.
1) Log Center behauptet manchmal, dass es innerhalb einer Sekunde mehr als X Ereignisse empfangen hat. Manchmal bekommt man dazu etliche Notifications (siehe Screenshot). Der Graph in der Übersicht zeigt sogar auch dass eine hohe Anzahl von Ereignissen empfangen wurde, Das Problem ist nur:
Wo findet man diese Ereignisse? Weder im Reiter Logs unter Local noch für andere Server sieht ich einen größere Menge Ereignisse.
Auch in der Übersicht muss nicht etwas zu sehen sein.
Die Lösung des Phänomens ist, wie ich meine, dass DSM auch Ereignisse zählt, die hereinkommen aber nicht geparsed werden können, und daher nicht angezeigt werden.
Desweiteren zeigt Log Center scheinbar nur Ereignisse in der Log-Ansicht an, die _vor_ dem Öffnen des Log Centers eingelaufen sind! Es hilft also, das Fenster von Log Center zu schließene und dann Log Center neu zu öffnen.
2) Ich wollte die Logs von non-Synology-Geräten im Log Center konsolidieren. Leider war in der Log Ansicht und in der Übersicht nichts zu finden.
Die Lösung dieses Problems ist, dass man dasselbe Transportprotokoll wie auf den sendenen Knoten empfangen muss, wenn manche nur UDP und kein TCP können, dann muss man zwei Empfangsregeln einrichten, eine für UDP und eine für TCP. Wenn die Sender nicht per SSL senden können, dann muss bei der TCP-Regel SSL angeschaltet sein. Desweiteren muss die Synology den Log-Header verstehen/parsen können. das IETF-Format hat z.B. für Logs von OpenWRT nicht funktioniert. Hier musste ich BSD wählen. Alternativ kann man eine "Custom Format" Regel erstellen und als Ausdruck ";" verwenden, dann wird schlicht alles übernommen. Bei so einer schlichten Regel ist Log Center allerdings nicht in der Lage die Zeitstempel und Knotennamen korrekt zu erfassen.
Empfehlung wäre also:
Empfangsregel mit: BSD, TCP, kein SSL, 514 (SSL für Syslog können die meisten Geräte nicht. Hat man Geräte, die das können, dann kann man sich noch eine weitere Regel mit BSD TCP SSL auf einem anderen Port einrichten). TCP ist zuverlässiger bei der Zustellugn von Logs. UDP ist eigentlich ungeeignet. Falls es noch ältere Geräte gibt, die nur Syslog nur per UDP, aber kein TCP beherrschen, dann richtet man sich noch eine Regel ein mit "BSD, UDP, 514".
Schließlich sollte man noch den Sendern beibrigen, dass keine Info oder Notice Meldungen geschickt werden sollen, sonst kommt es wieder zu sinnlosen Notifications.
Ich hoffe das hilft euch.
Cheers
JC
