Zentraler Log-Server mit Rsyslogd
LOG-Server
Die Konfiguration des zentralen Log-Servers (Version 4) ist einfach :
Eine Konfigurationsdatei unter /etc/rsyslog.d/ anlegen und folgende Zeilen einfügen:
z.B.:
vim /etc/rsyslog.d/remote_logging_server.conf
TCP:
# provides TCP syslog reception$ModLoad imtcp$InputTCPServerRun 514
Oder UDP:
# provides UDP syslog reception$ModLoad imudp$InputUDPServerRun 514
TCP ist zu bevorzugen. Nach dem Neustart des Daemons wartet dieser auf eingehende TCP-Pakete mit Log-Einträge auf dem Default-Port 514.
Test ober der Service erfolgreich gestartet wurde mit:
netstat -lntp | grep 514
Es sollte folgende Ausgabe erscheinen:
tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 24369/rsyslogd
tcp6 0 0 :::514 :::* LISTEN 24369/rsyslogd
Weiterführende Konfiguration:
Dokumentation
Beispielscript zur Sortierung der Log-Dateien nach den einzelnen Domains steht hier zu download
Weiter Beispielscripte
LOG-Client
Die Konfigurationsdatei (/etc/rsyslog.conf oder /etc/syslog.conf) auf dem Client muss folgendermaßen angepasst werden.
TCP:
*.* @@<ip-adresse-log-server>
Oder UDP:
*.* @<ip-adresse-log-server>
Nach dem Neustart des Log-Daemons sollten die Einstellungen greifen.
TEST
Test ober der Client erfolgreich konfiguriert wurde:
Auf dem Client:
netstat -tap | grep syslog
tcp 0 0 <client>:50441 <server>:shell ESTABLISHED 28698/rsyslogd
Auf dem Server:
netstat -tap | grep syslog
Ausgabe:
tcp 0 0 <server>:shell <client>:50441 ESTABLISHED 24369/rsyslogd
Anmerkung:
Einer meiner Server ist natürlich ein Mailserver. Ohne die Konfiguration anzupassen werden viele Events defaultmäßig in /var/log/syslog geschrieben. Damit das nicht mehr der Fall ist müssen wir den Rsyslogd-Server anpassen.
vim /etc/rsyslog.conf
*.*;auth,authpriv.none -/var/log/syslog
folgendermaßen ergänzen:
*.*;auth,authpriv.none;mail.none -/var/log/syslog