Rsyslog Linuxシステムで使用されるロギングサーバーです。その拡張バージョンのSyslog。 Rsyslogはデータベース( MySQL、PostgreSQL )もサポートしています )ログを保存します。これは、CentOS /RHEL6リリースから使用されているデフォルトのロギングサーバーです。 Rsyslogは、Linuxの拡張バージョンのOSsyslogサービスです。この記事は、ホスティング環境で集中ログサーバーを構成するためのものです。
この記事は、CentOS / RHEL 5にRsyslogサービスをインストールし、すべてのログを中央サーバーに送信するようにRsyslogを構成するのに役立ちます。私たちの主な目的は、すべてのログファイルを、簡単にバックアップしたり、パーサーを使用して1か所で解析したりできる場所に配置することです。各サーバーで個別にバックアップを設定する必要はありません。
ステップ1:Rsyslogサービスをインストールする
Rsyslogは、RHEL6リリース以降のRHELベースのシステムにデフォルトでインストールされます。中央ログシステムとクライアントシステムにRsyslogサービスをインストールします。次のコマンドを使用して、以前のバージョンのRHEL/CentOSシステムにRsyslogサービスをインストールします。
# yum install rsyslog
インストール後、rsyslogサービスを開始し、syslogがサーバーで停止していることを確認してください。
# service syslog stop # chkconfig syslog off # service rsyslog start # chkconfig rsyslog on
ステップ2:中央ログサーバーでRsyslogを構成する
次に、中央のログサーバーでRsyslogを構成して、リモートクライアントからログを受信し、それらをさまざまな場所に保存する必要があります。
ステップ2.1:SELinuxを許可する
システムでSELinuxを有効にしている場合は、次のコマンドを使用して、ポート514でrsyslogトラフィックを有効にします。
# semanage -a -t syslogd_port_t -p udp 514
ステップ2.2:ログファイルの場所を設定する
次に、Rsyslog構成ファイルを編集し、システムでログファイルを生成するように場所を構成します。
# vim /etc/rsyslog.conf
次の行をファイルの終わりとして追加します。
$template TmplAuth, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log" authpriv.* ?TmplAuth *.info,mail.none,authpriv.none,cron.none ?TmplMsg
ステップ2.3:モジュールとUDPプロトコルを有効にする
また、UDPを有効にするには、rsyslog構成ファイルの次の行からコメントを削除します(開始番号を削除します)。
$ModLoad imudp $UDPServerRun 514
ステップ2.4:ファイアウォールでのオープンアクセス
システムを保護するためにiptablesを使用している場合は、ポートを開くために次のルールを追加する必要があります
# iptables -A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT
ステップ2.5:Rsyslogを再起動します
Rsyslog中央サーバーで上記の変更を行った後、次のコマンドを使用してサービスを再起動します。
# service rsyslog restart
ステップ3:クライアントノードでRsyslogを構成する
Rsyslog集中型サーバーを構成した後、中央のRsyslogサーバーにログを送信するようにクライアントシステムを構成します。各クライアントノードにログインし、ファイルの最後に次の行を追加します
# vim /etc/rsyslog.conf
以下の行を追加し、ホスト名またはIPを中央のRsyslogシステムのIP/ホスト名に変更します。
*.* @192.168.1.254:514 [or ] *.* @logserver.example.com:514
次のコマンドを使用してrsyslogサービスを再起動します。
# service rsyslog restart
そして、集中ログサーバーのセットアップは正常に完了しました。