ログ集約サーバを立てて、他のサーバやデバイスからログを受け取る。

設定ファイルの/etc/rsyslog.confとファイアーウォールを設定すれば良い。

ログを集約する受信サーバ側の設定

# vi /etc/rsyslog.conf
 
# Provides UDP syslog reception
# for parameters see http://www.rsyslog.com/doc/imudp.html
module(load="imudp") # needs to be done just once # コメントアウトを外す
input(type="imudp" port="514")    # コメントアウトを外す

# TCPで転送する場合は下記のコメントアウトを外す

# Provides TCP syslog reception
# for parameters see http://www.rsyslog.com/doc/imtcp.html
# module(load="imtcp") # needs to be done just once
# input(type="imtcp" port="514")
 
#ログの出力先
$template SyslogMessage,"/var/log/rsyslog/%fromhost%/%$year%%$month%%$day%_syslog.log"
*.*     -?SyslogMessage
#
# systemctl restart rsyslog

ファイアーウォールでポート514を開ける

# firewall-cmd --add-port=514/udp --permanent
#
# firewall-cmd --reload

ログの送信側クライアントの設定

# サンプル転送ルールのコメントアウトを外す

# ### sample forwarding rule ###
#action(type="omfwd"  
# # An on-disk queue is created for this action. If the remote host is
# # down, messages are spooled to disk and sent when it is up again.
queue.filename="fwdRule1"       # unique name prefix for spool files
queue.maxdiskspace="1g"         # 1gb space limit (use as much as possible)
queue.saveonshutdown="on"       # save messages to disk on shutdown
queue.type="LinkedList"         # run asynchronously
action.resumeRetryCount="-1"    # infinite retries if host is down
# # Remote Logging (we use TCP for reliable delivery)
# # remote_host is: name/ip, e.g. 192.168.0.1, port optional e.g. 10514
#Target="remote_host" Port="XXX" Protocol="tcp")

# 転送先サーバのIPアドレスとポートを指定する。*.*は全てのファシリティと全ての重要度を対象とする設定。
*.* @172.25.130.101:514