読者です 読者をやめる 読者になる 読者になる

labunix's blog

labunixのラボUnix

別のrsyslogサーバにsyslogを転送する

■debian Wheezy/Squeezeでの設定方法

■rsyslogの転送設定(受信側)

$ sudo grep -A 1 "#.*im..p" /etc/rsyslog.conf
#$ModLoad imudp
#$UDPServerRun 514
--
#$ModLoad imtcp
#$InputTCPServerRun 514

■UDPの待ち受けポートを有効にする。

$ sudo grep -A 1 ".*im..p" /etc/rsyslog.conf
$ModLoad imudp
$UDPServerRun 514
--
#$ModLoad imtcp
#$InputTCPServerRun 514

$ sudo /etc/init.d/rsyslog restart
$ netstat -an | grep "\:514"
udp        0      0 0.0.0.0:514             0.0.0.0:*
udp6       0      0 :::514                  :::*

■IPv4に制限

$ sudo grep OPT /etc/default/rsyslog
RSYSLOGD_OPTIONS="-c4"

$ sudo sed -i s/"RSYSLOGD_OPTIONS=\"-c4"/"& -4"/ /etc/default/rsyslog
$ sudo /etc/init.d/rsyslog restart
Stopping enhanced syslogd: rsyslogd.
Starting enhanced syslogd: rsyslogd.


$ netstat -an | grep "\:514"
udp        0      0 0.0.0.0:514             0.0.0.0:*

■上記サーバにcronログをsyslogを転送(送信側)。

$ grep @ /etc/rsyslog.conf
cron.*                          @192.168.1.1

$ sudo /etc/init.d/rsyslog restart
Stopping enhanced syslogd: rsyslogd.
Starting enhanced syslogd: rsyslogd.

■単純なチェック

$ crontab -l
* * * * * /bin/echo "Hello World"

■転送が確認出来たら、例えば以下のように警告以上を転送に変更(送信側)。

$ grep @ /etc/rsyslog.conf
*.warn                          @192.168.1.1