Rsyslog : 基本設定2024/07/02 |
Rsyslog の基本的な設定です。
|
|
[1] | Rsyslog のログ保管ルールは [/etc/rsyslog.conf] とインクルードファイルで設定されています。 |
root@dlp:~# grep -v -E "^#|^$" /etc/rsyslog.conf /etc/rsyslog.d/* /etc/rsyslog.conf:module(load="imuxsock") # provides support for local system logging /etc/rsyslog.conf:module(load="imklog" permitnonkernelfacility="on") /etc/rsyslog.conf:$RepeatedMsgReduction on /etc/rsyslog.conf:$FileOwner syslog /etc/rsyslog.conf:$FileGroup adm /etc/rsyslog.conf:$FileCreateMode 0640 /etc/rsyslog.conf:$DirCreateMode 0755 /etc/rsyslog.conf:$Umask 0022 /etc/rsyslog.conf:$PrivDropToUser syslog /etc/rsyslog.conf:$PrivDropToGroup syslog /etc/rsyslog.conf:$WorkDirectory /var/spool/rsyslog /etc/rsyslog.conf:$IncludeConfig /etc/rsyslog.d/*.conf /etc/rsyslog.d/20-ufw.conf::msg,contains,"[UFW " /var/log/ufw.log /etc/rsyslog.d/21-cloudinit.conf::syslogtag, isequal, "[CLOUDINIT]" /var/log/cloud-init.log /etc/rsyslog.d/21-cloudinit.conf:& stop /etc/rsyslog.d/50-default.conf:auth,authpriv.* /var/log/auth.log /etc/rsyslog.d/50-default.conf:*.*;auth,authpriv.none -/var/log/syslog /etc/rsyslog.d/50-default.conf:kern.* -/var/log/kern.log /etc/rsyslog.d/50-default.conf:mail.* -/var/log/mail.log /etc/rsyslog.d/50-default.conf:mail.err /var/log/mail.err /etc/rsyslog.d/50-default.conf:*.emerg :omusrmsg:* # * 保管ルールの記述方法 : (ファシリティ).(プライオリティ) (アクション) # # ex : *.*;auth,authpriv.none -/var/log/syslog # ⇒ 全ファシリティの全プライオリティの [syslog] メッセージを [/var/log/syslog] に出力 # ⇒ ただし [auth], [authpriv] ファシリティの [syslog] メッセージは [/var/log/syslog] には出力しない # # * 出力ファイル名の先頭の [-] はログの書き込みは非同期で実行されることを意味する # ファイル名の先頭に [-] を付加しない場合はログの書き込みは同期モードで実行 # * ファシリティの主な種類 # kern : カーネル関連のメッセージ # auth : 認証関連のメッセージ # authpriv : 認証関連 (プライベート) のメッセージ # cron : cron や at 関連のメッセージ # mail : メールサービス関連のメッセージ # news : news 関連のメッセージ # uucp : uucp 関連のメッセージ # daemon : デーモンプログラム関連のメッセージ # user : ユーザーレベルのプロセス関連のメッセージ # lpr : プリンタ関連のメッセージ # syslog : syslog 内部のメッセージ # local0 - local7 : カスタムで自由に利用可能 # * プライオリティの種類 # emerg : システム利用不能レベルの問題 # alert : 即時対応が必要なレベルの問題 # crit : 重大なレベルの問題 # err : 一般的なレベルのエラー # warning : 警告レベルのメッセージ # notice : 要注意レベルの通知メッセージ # info : 一般的な情報レベルのメッセージ # debug : デバッグ情報 # none : 指定なし (出力しない) # * 通常のルール指定の場合、指定したプライオリティよりも重要度が高いログは全て記録 # 指定したプライオリティのみを記録したい場合は、プライオリティの前に等号を付加 # ex : kern.=crit /dev/console |
[2] | リモートホストにログを転送して、特定ホストで複数ホストのログを一括管理する場合は、以下のように設定します。 |
# 21-22行目 : コメント解除
# 23行目 : 許可する送信元を設定
module(load="imtcp")
input(type="imtcp" port="514")
$AllowedSender TCP, 127.0.0.1, 10.0.0.0/24, *.srv.world
root@dlp:~#
systemctl restart rsyslog
# 最終行に追記 action(type="omfwd" queue.filename="fwdRule_dlp.srv.world" queue.maxdiskspace="1g" queue.saveonshutdown="on" queue.type="LinkedList" action.resumeRetryCount="-1" Target="dlp.srv.world" Port="514" Protocol="tcp") # queue.filename : キューファイル名 # queue.maxdiskspace : キューに確保するディスクスペース # queue.saveonshutdown=on : シャットダウン時にキューデータをディスクに保存 # queue.type=LinkedList : 10,000 メッセージを保持可能な非同期キュー # action.resumeRetryCount=-1 : サーバーが無応答の場合リトライし続ける # Target=*** : ログ受信サーバーを指定
root@node01:~# systemctl restart rsyslog
###### 以上で送信側ホストのログが受信側ホストにも記録される ###### root@dlp:~# tail /var/log/auth.log 2024-07-02T00:05:01.996288+00:00 dlp CRON[7434]: pam_unix(cron:session): session opened for user root(uid=0) by root(uid=0) 2024-07-02T00:05:01.998747+00:00 dlp CRON[7434]: pam_unix(cron:session): session closed for user root 2024-07-02T00:06:19+00:00 node01 login[743]: pam_unix(login:session): session closed for user root 2024-07-02T00:06:19+00:00 node01 systemd-logind[632]: Session 1 logged out. Waiting for processes to exit. 2024-07-02T00:06:19+00:00 node01 systemd-logind[632]: Removed session 1. 2024-07-02T00:06:21+00:00 node01 login[916]: PAM unable to dlopen(pam_lastlog.so): /usr/lib/security/pam_lastlog.so: cannot open shared object file: No such file or directory 2024-07-02T00:06:21+00:00 node01 login[916]: PAM adding faulty module: pam_lastlog.so 2024-07-02T00:06:24+00:00 node01 login[916]: pam_unix(login:session): session opened for user root(uid=0) by root(uid=0) 2024-07-02T00:06:24+00:00 node01 systemd-logind[632]: New session 3 of user root. 2024-07-02T00:06:24+00:00 node01 login[962]: ROOT LOGIN on '/dev/ttyS0' |
Sponsored Link |