ログ転送
ログ集約サーバを立てて、他のサーバやデバイスからログを受け取る。
設定ファイルの/etc/rsyslog.confとファイアーウォールを設定すれば良い。
ログを集約する受信サーバ側の設定
# vi /etc/rsyslog.conf # Provides UDP syslog reception # for parameters see http://www.rsyslog.com/doc/imudp.html module(load="imudp") # needs to be done just once # コメントアウトを外す input(type="imudp" port="514") # コメントアウトを外す # TCPで転送する場合は下記のコメントアウトを外す # Provides TCP syslog reception # for parameters see http://www.rsyslog.com/doc/imtcp.html # module(load="imtcp") # needs to be done just once # input(type="imtcp" port="514") #ログの出力先 $template SyslogMessage,"/var/log/rsyslog/%fromhost%/%$year%%$month%%$day%_syslog.log" *.* -?SyslogMessage # # systemctl restart rsyslog
ファイアーウォールでポート514を開ける
# firewall-cmd --add-port=514/udp --permanent # # firewall-cmd --reload
ログの送信側クライアントの設定
# サンプル転送ルールのコメントアウトを外す # ### sample forwarding rule ### #action(type="omfwd" # # An on-disk queue is created for this action. If the remote host is # # down, messages are spooled to disk and sent when it is up again. queue.filename="fwdRule1" # unique name prefix for spool files queue.maxdiskspace="1g" # 1gb space limit (use as much as possible) queue.saveonshutdown="on" # save messages to disk on shutdown queue.type="LinkedList" # run asynchronously action.resumeRetryCount="-1" # infinite retries if host is down # # Remote Logging (we use TCP for reliable delivery) # # remote_host is: name/ip, e.g. 192.168.0.1, port optional e.g. 10514 #Target="remote_host" Port="XXX" Protocol="tcp") # 転送先サーバのIPアドレスとポートを指定する。*.*は全てのファシリティと全ての重要度を対象とする設定。 *.* @172.25.130.101:514