Rsyslog : 基本設定2022/08/30 |
|
Rsyslog の基本的な設定です。
|
|
| [1] | Rsyslog のログ保管ルールは [/etc/rsyslog.conf] とインクルードファイルで設定されています。 |
|
root@dlp:~# grep -v -E "^#|^$" /etc/rsyslog.conf /etc/rsyslog.d/* /etc/rsyslog.conf:module(load="imuxsock") # provides support for local system logging /etc/rsyslog.conf:module(load="imklog" permitnonkernelfacility="on") /etc/rsyslog.conf:$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat /etc/rsyslog.conf:$RepeatedMsgReduction on /etc/rsyslog.conf:$FileOwner syslog /etc/rsyslog.conf:$FileGroup adm /etc/rsyslog.conf:$FileCreateMode 0640 /etc/rsyslog.conf:$DirCreateMode 0755 /etc/rsyslog.conf:$Umask 0022 /etc/rsyslog.conf:$PrivDropToUser syslog /etc/rsyslog.conf:$PrivDropToGroup syslog /etc/rsyslog.conf:$WorkDirectory /var/spool/rsyslog /etc/rsyslog.conf:$IncludeConfig /etc/rsyslog.d/*.conf /etc/rsyslog.d/20-ufw.conf::msg,contains,"[UFW " /var/log/ufw.log /etc/rsyslog.d/21-cloudinit.conf::syslogtag, isequal, "[CLOUDINIT]" /var/log/cloud-init.log /etc/rsyslog.d/21-cloudinit.conf:& stop /etc/rsyslog.d/50-default.conf:auth,authpriv.* /var/log/auth.log /etc/rsyslog.d/50-default.conf:*.*;auth,authpriv.none -/var/log/syslog /etc/rsyslog.d/50-default.conf:kern.* -/var/log/kern.log /etc/rsyslog.d/50-default.conf:mail.* -/var/log/mail.log /etc/rsyslog.d/50-default.conf:mail.err /var/log/mail.err /etc/rsyslog.d/50-default.conf:*.emerg :omusrmsg:* # * 保管ルールの記述方法 : (ファシリティ).(プライオリティ) (アクション) # # ex : *.*;auth,authpriv.none -/var/log/syslog # ⇒ 全ファシリティの全プライオリティの [syslog] メッセージを [/var/log/syslog] に出力 # ⇒ ただし [auth], [authpriv] ファシリティの [syslog] メッセージは [/var/log/syslog] には出力しない # # * 出力ファイル名の先頭の [-] はログの書き込みは非同期で実行されることを意味する # ファイル名の先頭に [-] を付加しない場合はログの書き込みは同期モードで実行 # * ファシリティの主な種類 # kern : カーネル関連のメッセージ # auth : 認証関連のメッセージ # authpriv : 認証関連 (プライベート) のメッセージ # cron : cron や at 関連のメッセージ # mail : メールサービス関連のメッセージ # news : news 関連のメッセージ # uucp : uucp 関連のメッセージ # daemon : デーモンプログラム関連のメッセージ # user : ユーザーレベルのプロセス関連のメッセージ # lpr : プリンタ関連のメッセージ # syslog : syslog 内部のメッセージ # local0 - local7 : カスタムで自由に利用可能 # * プライオリティの種類 # emerg : システム利用不能レベルの問題 # alert : 即時対応が必要なレベルの問題 # crit : 重大なレベルの問題 # err : 一般的なレベルのエラー # warning : 警告レベルのメッセージ # notice : 要注意レベルの通知メッセージ # info : 一般的な情報レベルのメッセージ # debug : デバッグ情報 # none : 指定なし (出力しない) # * 通常のルール指定の場合、指定したプライオリティよりも重要度が高いログは全て記録 # 指定したプライオリティのみを記録したい場合は、プライオリティの前に等号を付加 # ex : kern.=crit /dev/console |
| [2] | リモートホストにログを転送して、特定ホストで複数ホストのログを一括管理する場合は、以下のように設定します。 |
|
# 21-22行目 : コメント解除
# 23行目 : 許可する送信元を設定
module(load="imtcp")
input(type="imtcp" port="514")
$AllowedSender TCP, 127.0.0.1, 10.0.0.0/24, *.srv.world
root@dlp:~#
systemctl restart rsyslog
# 最終行に追記
action(type="omfwd"
queue.filename="fwdRule_dlp.srv.world"
queue.maxdiskspace="1g"
queue.saveonshutdown="on"
queue.type="LinkedList"
action.resumeRetryCount="-1"
Target="dlp.srv.world" Port="514" Protocol="tcp")
# queue.filename : キューファイル名 # queue.maxdiskspace : キューに確保するディスクスペース # queue.saveonshutdown=on : シャットダウン時にキューデータをディスクに保存 # queue.type=LinkedList : 10,000 メッセージを保持可能な非同期キュー # action.resumeRetryCount=-1 : サーバーが無応答の場合リトライし続ける # Target=*** : ログ受信サーバーを指定
root@node01:~# systemctl restart rsyslog
###### 以上で送信側ホストのログが受信側ホストにも記録される ###### root@dlp:~# tail /var/log/auth.log Aug 30 00:43:15 dlp systemd: pam_unix(systemd-user:session): session opened for user root(uid=0) by (uid=0) Aug 30 00:43:15 dlp login[928]: ROOT LOGIN on '/dev/ttyS0' Aug 30 01:17:01 dlp CRON[12467]: pam_unix(cron:session): session opened for user root(uid=0) by (uid=0) Aug 30 01:17:01 dlp CRON[12467]: pam_unix(cron:session): session closed for user root Aug 30 01:19:40 node01 login[670]: pam_unix(login:session): session closed for user root Aug 30 01:19:40 node01 systemd-logind[574]: Session 1 logged out. Waiting for processes to exit. Aug 30 01:19:40 node01 systemd-logind[574]: Removed session 1. Aug 30 01:19:46 node01 login[832]: pam_unix(login:session): session opened for user root(uid=0) by LOGIN(uid=0) Aug 30 01:19:46 node01 systemd-logind[574]: New session 4 of user root. Aug 30 01:19:46 node01 login[887]: ROOT LOGIN on '/dev/ttyS0' |
| Sponsored Link |