サーバー・ルーター(Linux,Airmac)のsyslogを1台のログサーバーで管理する。ただし、Debian10やUbuntu20ではrsyslogに変更されている。
一般にLinuxはログの受信はデフォルトで無効になっているために、これを有効にする。
syslog転送の設定の前に各機器の時間の同期を必ず行う(syslogの追跡が困難になるため)。
ログサーバー(他のマシンからログを受信書き込みするマシン)の設定
設定ファイルを編集する。
vi /etc/init.d/sysklogd
# Options for start/restart the daemons
# For remote UDP logging use SYSLOGD="-r"
#
SYSLOGD="-r"
これだけでは、任意のログを受信するのでログサーバーで514/udpポートの制御を行う。
記述フォーマットは、デーモン名:ホスト名またはIPアドレス。
vi /etc/hosts.deny
ALL:ALL
vi /etc/hosts.allow
in.syslogd: 192.168.0. 192.168.1. ドメイン名
或は、iptableでパケットフィルタリングを行う。
転送元の設定
設定ファイルを編集する。
vi /etc/syslog.conf
*.* @転送先ホスト
を追加する。 転送先ホストを名前で記述する場合には、/etc/hosts 若しくは DNSで確実に名前解決しておく。 ログ転送が確実に行えていることを確認してから、ローカル保存の設定を削除する。ローカルとリモートの双方でログを残したい場合には、削除しない。