Zentralen Log-Server (Rsyslogd) unter Debian einrichten

Zentraler Log-Server mit Rsyslogd

LOG-Server

Die Konfiguration des zentralen Log-Servers (Version 4) ist einfach :
Eine Konfigurationsdatei unter /etc/rsyslog.d/ anlegen und folgende Zeilen einfügen:
z.B.:

vim /etc/rsyslog.d/remote_logging_server.conf

TCP:

# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

Oder UDP:

# provides UDP syslog reception
$ModLoad imudp
$InputUDPServerRun 514

TCP ist zu bevorzugen. Nach dem Neustart des Daemons wartet dieser auf eingehende TCP-Pakete mit Log-Einträge auf dem Default-Port 514.
Test ober der Service erfolgreich gestartet wurde mit:

netstat -lntp | grep 514

Es sollte folgende Ausgabe erscheinen:

tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      24369/rsyslogd
tcp6       0      0 :::514                  :::*                    LISTEN      24369/rsyslogd

Weiterführende Konfiguration:
Dokumentation
Beispielscript zur Sortierung der Log-Dateien nach den einzelnen Domains steht hier zu download
Weiter Beispielscripte

LOG-Client

Die Konfigurationsdatei (/etc/rsyslog.conf oder /etc/syslog.conf) auf dem Client muss folgendermaßen angepasst werden.
TCP:

*.* @@<ip-adresse-log-server>

Oder UDP:

*.* @<ip-adresse-log-server>

Nach dem Neustart des Log-Daemons sollten die Einstellungen greifen.

TEST

Test ober der Client erfolgreich konfiguriert wurde:
Auf dem Client:

netstat -tap | grep syslog

Ausgabe:
tcp        0      0 <client>:50441 <server>:shell        ESTABLISHED 28698/rsyslogd

Auf dem Server:

netstat -tap | grep syslog

Ausgabe:

tcp        0      0 <server>:shell    <client>:50441         ESTABLISHED 24369/rsyslogd

Anmerkung:
Einer meiner Server ist natürlich ein Mailserver. Ohne die Konfiguration anzupassen werden viele Events defaultmäßig in /var/log/syslog geschrieben. Damit das nicht mehr der Fall ist müssen wir den Rsyslogd-Server anpassen.
vim /etc/rsyslog.conf

*.*;auth,authpriv.none               -/var/log/syslog

folgendermaßen ergänzen:

*.*;auth,authpriv.none;mail.none                -/var/log/syslog

Anschließend den Rsyslog neustarten. Damit werden keine Mail-Log-Events mehr in /var/log/syslog geschrieben.
Vergleich zwischen RSyslog und Syslog-NG findet Ihr hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.