시스템을 운영하다보면 많은 서버와 장비에서 시시각각 쌓이는 수많은 로그를 각 시스템에 흩어진 상태로 보관하고 있는 것이 불편해, 중앙에서 수집할 수 있는 별도의 로그서버를 구축할 필요가 생긴다. 이때 활용하기 좋은 것이 rsyslog다.
1. rsyslog 설치
yum install rsyslog
2. rsyslog 컨피그 수정
vi /etc/rsyslog.conf
주석 제거 및 설정 추가
# The imjournal module bellow is now used as a message source instead of imuxsock.
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
$ModLoad imklog # reads kernel messages (the same are read from journald)
#$ModLoad immark # provides --MARK-- message capability
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
# Added Fields
$template FILENAME,"/var/log/remote/%hostname%/messages_%$YEAR%-%$MONTH%-%$DAY%.log"
*.*?FILENAME
*.*@"log server ip":514
3. rsyslog 서비스 재시작
service rsyslog restart이후 netstat -natlp | grep 514 등으로 리스닝 상태를 확인해본다.
4. 방화벽 설정
#iptables 방화벽에서 rsyslog의 서비스포트인 tcp, udp 514를 허용
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT
iptables -A INPUT -m state --state NEW -m udp -p tcp --dport 514 -j ACCEPT
#firewalld 방화벽에서 rsyslog의 서비스포트인 tcp, udp 514를 허용
firewall-cmd --permanent --add-port=514/tcp
firewall-cmd --permanent --add-port=514/udp
5. 방화벽 재시작
firewall-cmd --reload'Computer Science > Project' 카테고리의 다른 글
| 로그서버 구축2 # 윈도우 이벤트로그 syslog로 전달하기 (0) | 2021.04.23 |
|---|
