syslog転送

サーバー・ルーター(Linux,Airmac)のsyslogを1台のログサーバーで管理する。ただし、Debian10やUbuntu20ではrsyslogに変更されている。

一般にLinuxはログの受信はデフォルトで無効になっているために、これを有効にする。

syslog転送の設定の前に各機器の時間の同期を必ず行う(syslogの追跡が困難になるため)。

ログサーバー(他のマシンからログを受信書き込みするマシン)の設定

設定ファイルを編集する。

vi /etc/init.d/sysklogd

# Options for start/restart the daemons
# For remote UDP logging use SYSLOGD="-r"
#
SYSLOGD="-r"

これだけでは、任意のログを受信するのでログサーバーで514/udpポートの制御を行う。

記述フォーマットは、デーモン名:ホスト名またはIPアドレス。

vi /etc/hosts.deny

ALL:ALL

vi /etc/hosts.allow

in.syslogd: 192.168.0. 192.168.1. ドメイン名

或は、iptableでパケットフィルタリングを行う。

転送元の設定

設定ファイルを編集する。

vi /etc/syslog.conf

*.* @転送先ホスト

を追加する。 転送先ホストを名前で記述する場合には、/etc/hosts 若しくは DNSで確実に名前解決しておく。 ログ転送が確実に行えていることを確認してから、ローカル保存の設定を削除する。ローカルとリモートの双方でログを残したい場合には、削除しない。

Keywords
Log Linux