Rsyslog : 基本設定2026/01/06 |
|
Rsyslog の基本的な設定です。 |
|
| [1] | Rsyslog のログ保管ルールは [/etc/rsyslog.conf] で設定されています。 |
|
dlp:~ # grep -v -E "^#|^$" /etc/rsyslog.conf
$ModLoad immark.so
$MarkMessagePeriod 3600
$ModLoad imuxsock.so
$RepeatedMsgReduction on
$ModLoad imklog.so
$FileOwner root
$FileGroup root
$FileCreateMode 0640
$DirCreateMode 0750
$Umask 0022
$IncludeConfig /run/rsyslog/additional-log-sockets.conf
$IncludeConfig /etc/rsyslog.d/*.conf
if ( \
/* kernel up to warning except of firewall */ \
($syslogfacility-text == 'kern') and \
($syslogseverity <= 4 /* warning */ ) and not \
($msg contains 'IN=' and $msg contains 'OUT=') \
) or ( \
/* up to errors except of facility authpriv */ \
($syslogseverity <= 3 /* errors */ ) and not \
($syslogfacility-text == 'authpriv') \
) \
then {
/dev/tty10
|/dev/xconsole
}
*.emerg :omusrmsg:*
$IncludeConfig /etc/rsyslog.d/*.frule
mail.* -/var/log/mail
mail.info -/var/log/mail.info
mail.warning -/var/log/mail.warn
mail.err /var/log/mail.err
*.=warning;*.=err -/var/log/warn
*.crit /var/log/warn
*.*;mail.none;news.none -/var/log/messages
local0.*;local1.* -/var/log/localmessages
local2.*;local3.* -/var/log/localmessages
local4.*;local5.* -/var/log/localmessages
local6.*;local7.* -/var/log/localmessages
# * 保管ルールの記述方法 : (ファシリティ).(プライオリティ) (アクション) # # ex : *.info;mail.none;authpriv.none;cron.none /var/log/messages # ⇒ 全ファシリティの [info] プライオリティの [syslog] メッセージを [/var/log/messages] に出力 # ⇒ ただし [mail], [authpriv], [cron] ファシリティの [syslog] メッセージは [/var/log/messages] には出力しない # # * 出力ファイル名の先頭の [-] はログの書き込みは非同期で実行されることを意味する # ファイル名の先頭に [-] を付加しない場合はログの書き込みは同期モードで実行 # * ファシリティの主な種類 # kern : カーネル関連のメッセージ # auth : 認証関連のメッセージ # authpriv : 認証関連 (プライベート) のメッセージ # cron : cron や at 関連のメッセージ # mail : メールサービス関連のメッセージ # news : news 関連のメッセージ # uucp : uucp 関連のメッセージ # daemon : デーモンプログラム関連のメッセージ # user : ユーザーレベルのプロセス関連のメッセージ # lpr : プリンタ関連のメッセージ # syslog : syslog 内部のメッセージ # local0 - local7 : カスタムで自由に利用可能 # * プライオリティの種類 # emerg : システム利用不能レベルの問題 # alert : 即時対応が必要なレベルの問題 # crit : 重大なレベルの問題 # err : 一般的なレベルのエラー # warning : 警告レベルのメッセージ # notice : 要注意レベルの通知メッセージ # info : 一般的な情報レベルのメッセージ # debug : デバッグ情報 # none : 指定なし (出力しない) # * 通常のルール指定の場合、指定したプライオリティよりも重要度が高いログは全て記録 # 指定したプライオリティのみを記録したい場合は、プライオリティの前に等号を付加 # ex : kern.=crit /dev/console |
| [2] | リモートホストにログを転送して、特定ホストで複数ホストのログを一括管理する場合は、以下のように設定します。 |
|
# 48行目 : 追記
module(load="imtcp")
input(type="imtcp" port="514")
$AllowedSender TCP, 127.0.0.1, 10.0.0.0/24, *.srv.world
dlp:~ #
systemctl restart rsyslog
# firewalld 稼働中の場合はポート許可 dlp:~ # firewall-cmd --add-port=514/tcp dlp:~ # firewall-cmd --runtime-to-permanent
# 最終行に追記
action(type="omfwd"
queue.filename="fwdRule_dlp.srv.world"
queue.maxdiskspace="1g"
queue.saveonshutdown="on"
queue.type="LinkedList"
action.resumeRetryCount="-1"
Target="dlp.srv.world" Port="514" Protocol="tcp")
# queue.filename : キューファイル名 # queue.maxdiskspace : キューに確保するディスクスペース # queue.saveonshutdown=on : シャットダウン時にキューデータをディスクに保存 # queue.type=LinkedList : 10,000 メッセージを保持可能な非同期キュー # action.resumeRetryCount=-1 : サーバーが無応答の場合リトライし続ける # Target=*** : ログ受信サーバーを指定
node01:~ # systemctl restart rsyslog
###### 以上で送信側ホストのログが受信側ホストにも記録される ###### dlp:~ # tail -15 /var/log/messages 2026-01-06T10:16:39+09:00 node01 systemd[1]: run-user-0.mount: Deactivated successfully. 2026-01-06T10:16:39+09:00 node01 systemd[1]: user-runtime-dir@0.service: Deactivated successfully. 2026-01-06T10:16:39+09:00 node01 systemd[1]: Stopped User Runtime Directory /run/user/0. 2026-01-06T10:16:39+09:00 node01 systemd[1]: Removed slice User Slice of UID 0. 2026-01-06T10:16:40+09:00 node01 su[1223]: (to root) suse on ttyS0 2026-01-06T10:16:40+09:00 node01 su[1223]: pam_unix(su-l:session): session opened for user root(uid=0) by suse(uid=1000) 2026-01-06T10:17:13.843471+09:00 dlp systemd[1]: Stopping OpenSSH Daemon... 2026-01-06T10:17:13.851626+09:00 dlp sshd[1216]: Received signal 15; terminating. 2026-01-06T10:17:13.851750+09:00 dlp systemd[1]: sshd.service: Deactivated successfully. 2026-01-06T10:17:13.851820+09:00 dlp systemd[1]: Stopped OpenSSH Daemon. 2026-01-06T10:17:13.851900+09:00 dlp systemd[1]: Starting OpenSSH Daemon... 2026-01-06T10:17:13.859454+09:00 dlp sshd-gen-keys-start[3310]: Checking for missing server keys in /etc/ssh 2026-01-06T10:17:14.007238+09:00 dlp sshd[3315]: Server listening on 0.0.0.0 port 22. 2026-01-06T10:17:14.007444+09:00 dlp sshd[3315]: Server listening on :: port 22. 2026-01-06T10:17:14.007793+09:00 dlp systemd[1]: Started OpenSSH Daemon. |
|
|