RHEL7.1 を rsyslog サーバとして動かす方法!

RedHat Enterprise Linux (RHEL) OS では規定で /var/log/messages にログが出力されるが、rsyslog.confを編集するだけで他ホストからのログ転送を受け付けることができます。リモートホストに転送したいログだけ転送することでログの一元管理ができます。注意点として、syslogサーバ側で時刻合わせをしておかないと転送されえてきたログの時間がずれてしまい混乱するため、併せて ntpd や chrony も設定し時刻同期をしておくと良いかと思います。

RHEL 7.1 においては、rsyslogdサービスは規定で自動起動で、SELinuxもtargetedの状態で問題なく、必要なのは /etc/rsyslog.conf の設定とファイアウォールでtcp/514,udp/514を開けておくことくらいです。
用語について簡単に説明します。

ファシリティ→ログの種類をカンマ区切りで複数指定が可能。
レベル→ログの重要度を示すもの
セレクタ→ファシリティとレベルをピリオドで結合したもの。セミコロン区切りで複数指定が可能。
アクション→セレクタにマッチしたログを出力する方法の指定

-ファシリティ
ファシリティ 対象 利用プログラムの例
kern カーネル カーネル
auth(security) 認証時
authpriv 認証時 login,su,ssh
cron Cron cron,at
mail メール sendmail,Postfix,Devecot
news ニュース inn
uucp uucp uucp
local0 ~ local7 ローカル

-レベル
レベル 対象
none 出力なし
emerg(panic) システムが動作不能な問題(emergency)
alert 修正すべき問題
crit 致命的な問題(critical)
err(error) 一般的なエラー
warn(warning) 警告
notice 通知
info 情報(information)
debug デバッグ情報

-アクション
出力先 指定方法 アクションの例
ファイル、デバイス /ではじめる /var/log/messages /dev/console
名前付きパイプ |ではじめる |<パイプ名>
ユーザ :omusrmsg:の後にユーザ名を指定するかアスタリスクを指定 :omusrmsg:root,user1,user2 :omusrmsg:*
ホスト @ではじめる @sysloghost @@sysloghost:10514

■/etc/rsyslog.conf の設定
imudp、imtcpモジュールをロードし利用ポートを指定する。
具体的には、下記行をコメントアウトすればよい

#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514

6 #### MODULES ####
7
8 # The imjournal module bellow is now used as a message source instead of imuxsock.
9 $ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
10 $ModLoad imjournal # provides access to the systemd journal
11 #$ModLoad imklog # reads kernel messages (the same are read from journald)
12 #$ModLoad immark # provides –MARK– message capability
13
14 # Provides UDP syslog reception
15 $ModLoad imudp
16 $UDPServerRun 514
17
18 # Provides TCP syslog reception
19 $ModLoad imtcp
20 $InputTCPServerRun 514

– ポートのリスン状況確認

$ ss -an | grep 514
tcp UNCONN 0 0 *:514 *:*
tcp UNCONN 0 0 :::514 :::*
tcp LISTEN 0 25 *:514 *:*
tcp LISTEN 0 25 :::514 :::*

■ログを転送する側の設定
# vi /etc/syslog.conf

# for Some Applications
local0.* @10.1.155.71

■出力確認
rsyslogサーバ上のmessagesに他ホストから転送されてきたログが出力されていればOKです。

スポンサーリンク

シェアする

フォローする

スポンサーリンク