Ubuntu 22.04
Sponsored Link

Rsyslog : 基本設定
2022/08/30
 
Rsyslog の基本的な設定です。
[1] Rsyslog のログ保管ルールは [/etc/rsyslog.conf] とインクルードファイルで設定されています。
root@dlp:~#
grep -v -E "^#|^$" /etc/rsyslog.conf /etc/rsyslog.d/*

/etc/rsyslog.conf:module(load="imuxsock") # provides support for local system logging
/etc/rsyslog.conf:module(load="imklog" permitnonkernelfacility="on")
/etc/rsyslog.conf:$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
/etc/rsyslog.conf:$RepeatedMsgReduction on
/etc/rsyslog.conf:$FileOwner syslog
/etc/rsyslog.conf:$FileGroup adm
/etc/rsyslog.conf:$FileCreateMode 0640
/etc/rsyslog.conf:$DirCreateMode 0755
/etc/rsyslog.conf:$Umask 0022
/etc/rsyslog.conf:$PrivDropToUser syslog
/etc/rsyslog.conf:$PrivDropToGroup syslog
/etc/rsyslog.conf:$WorkDirectory /var/spool/rsyslog
/etc/rsyslog.conf:$IncludeConfig /etc/rsyslog.d/*.conf
/etc/rsyslog.d/20-ufw.conf::msg,contains,"[UFW " /var/log/ufw.log
/etc/rsyslog.d/21-cloudinit.conf::syslogtag, isequal, "[CLOUDINIT]" /var/log/cloud-init.log
/etc/rsyslog.d/21-cloudinit.conf:& stop
/etc/rsyslog.d/50-default.conf:auth,authpriv.*                  /var/log/auth.log
/etc/rsyslog.d/50-default.conf:*.*;auth,authpriv.none           -/var/log/syslog
/etc/rsyslog.d/50-default.conf:kern.*                           -/var/log/kern.log
/etc/rsyslog.d/50-default.conf:mail.*                           -/var/log/mail.log
/etc/rsyslog.d/50-default.conf:mail.err                 /var/log/mail.err
/etc/rsyslog.d/50-default.conf:*.emerg                          :omusrmsg:*

# * 保管ルールの記述方法 : (ファシリティ).(プライオリティ)  (アクション)
#
# ex : *.*;auth,authpriv.none          -/var/log/syslog
# ⇒ 全ファシリティの全プライオリティの [syslog] メッセージを [/var/log/syslog] に出力
# ⇒ ただし [auth], [authpriv] ファシリティの [syslog] メッセージは [/var/log/syslog] には出力しない
#
# * 出力ファイル名の先頭の [-] はログの書き込みは非同期で実行されることを意味する
#   ファイル名の先頭に [-] を付加しない場合はログの書き込みは同期モードで実行

# * ファシリティの主な種類
# kern             :  カーネル関連のメッセージ
# auth             :  認証関連のメッセージ
# authpriv         :  認証関連 (プライベート) のメッセージ
# cron             :  cron や at 関連のメッセージ
# mail             :  メールサービス関連のメッセージ
# news             :  news 関連のメッセージ
# uucp             :  uucp 関連のメッセージ
# daemon           :  デーモンプログラム関連のメッセージ
# user             :  ユーザーレベルのプロセス関連のメッセージ
# lpr              :  プリンタ関連のメッセージ
# syslog           :  syslog 内部のメッセージ
# local0 - local7  :  カスタムで自由に利用可能

# * プライオリティの種類
# emerg            :  システム利用不能レベルの問題
# alert            :  即時対応が必要なレベルの問題
# crit             :  重大なレベルの問題
# err              :  一般的なレベルのエラー
# warning          :  警告レベルのメッセージ
# notice           :  要注意レベルの通知メッセージ
# info             :  一般的な情報レベルのメッセージ
# debug            :  デバッグ情報
# none             :  指定なし (出力しない)

# * 通常のルール指定の場合、指定したプライオリティよりも重要度が高いログは全て記録
# 指定したプライオリティのみを記録したい場合は、プライオリティの前に等号を付加
# ex : kern.=crit     /dev/console
[2] リモートホストにログを転送して、特定ホストで複数ホストのログを一括管理する場合は、以下のように設定します。
###### 受信側ホストの設定 ######

root@dlp:~#
vi /etc/rsyslog.conf
# 21-22行目 : コメント解除
# 23行目 : 許可する送信元を設定
module(load="imtcp")
input(type="imtcp" port="514")
$AllowedSender TCP, 127.0.0.1, 10.0.0.0/24, *.srv.world

root@dlp:~#
systemctl restart rsyslog

###### 送信側ホストの設定 ######

root@node01:~#
vi /etc/rsyslog.d/50-default.conf
# 最終行に追記

action(type="omfwd"
       queue.filename="fwdRule_dlp.srv.world"
       queue.maxdiskspace="1g"
       queue.saveonshutdown="on"
       queue.type="LinkedList"
       action.resumeRetryCount="-1"
       Target="dlp.srv.world" Port="514" Protocol="tcp")

# queue.filename               :  キューファイル名
# queue.maxdiskspace           :  キューに確保するディスクスペース
# queue.saveonshutdown=on      :  シャットダウン時にキューデータをディスクに保存
# queue.type=LinkedList        :  10,000 メッセージを保持可能な非同期キュー
# action.resumeRetryCount=-1   :  サーバーが無応答の場合リトライし続ける
# Target=***                   :  ログ受信サーバーを指定

root@node01:~#
systemctl restart rsyslog

###### 以上で送信側ホストのログが受信側ホストにも記録される ######

root@dlp:~#
tail /var/log/auth.log

Aug 30 00:43:15 dlp systemd: pam_unix(systemd-user:session): session opened for user root(uid=0) by (uid=0)
Aug 30 00:43:15 dlp login[928]: ROOT LOGIN  on '/dev/ttyS0'
Aug 30 01:17:01 dlp CRON[12467]: pam_unix(cron:session): session opened for user root(uid=0) by (uid=0)
Aug 30 01:17:01 dlp CRON[12467]: pam_unix(cron:session): session closed for user root
Aug 30 01:19:40 node01 login[670]: pam_unix(login:session): session closed for user root
Aug 30 01:19:40 node01 systemd-logind[574]: Session 1 logged out. Waiting for processes to exit.
Aug 30 01:19:40 node01 systemd-logind[574]: Removed session 1.
Aug 30 01:19:46 node01 login[832]: pam_unix(login:session): session opened for user root(uid=0) by LOGIN(uid=0)
Aug 30 01:19:46 node01 systemd-logind[574]: New session 4 of user root.
Aug 30 01:19:46 node01 login[887]: ROOT LOGIN  on '/dev/ttyS0'
関連コンテンツ