Home > Howto > Zentralen Log-Server (Rsyslogd) unter Debian einrichten

Zentralen Log-Server (Rsyslogd) unter Debian einrichten

Zentraler Log-Server mit Rsyslogd

LOG-Server

Die Konfiguration des zentralen Log-Servers (Version 4) ist einfach :

Eine Konfigurationsdatei unter /etc/rsyslog.d/ anlegen und folgende Zeilen einfügen:

z.B.:

vim /etc/rsyslog.d/remote_logging_server.conf

TCP:

# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

Oder UDP:

# provides UDP syslog reception
$ModLoad imudp
$InputUDPServerRun 514

TCP ist zu bevorzugen. Nach dem Neustart des Daemons wartet dieser auf eingehende TCP-Pakete mit Log-Einträge auf dem Default-Port 514.

Test ober der Service erfolgreich gestartet wurde mit:

netstat -lntp | grep 514

Es sollte folgende Ausgabe erscheinen:

tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      24369/rsyslogd

tcp6       0      0 :::514                  :::*                    LISTEN      24369/rsyslogd

Weiterführende Konfiguration:

Dokumentation

Beispielscript zur Sortierung der Log-Dateien nach den einzelnen Domains steht hier zu download

Weiter Beispielscripte

LOG-Client

Die Konfigurationsdatei (/etc/rsyslog.conf oder /etc/syslog.conf) auf dem Client muss folgendermaßen angepasst werden.

TCP:

*.* @@

Oder UDP:

*.* @

Nach dem Neustart des Log-Daemons sollten die Einstellungen greifen.

TEST

Test ober der Client erfolgreich konfiguriert wurde:

Auf dem Client:

netstat -tap | grep syslog

Ausgabe:
tcp        0      0 :50441 :shell        ESTABLISHED 28698/rsyslogd

Auf dem Server:

netstat -tap | grep syslog

Ausgabe:

tcp        0      0 :shell    :50441         ESTABLISHED 24369/rsyslogd

Anmerkung:

Einer meiner Server ist natürlich ein Mailserver. Ohne die Konfiguration anzupassen werden viele Events defaultmäßig in /var/log/syslog geschrieben. Damit das nicht mehr der Fall ist müssen wir den Rsyslogd-Server anpassen.

vim /etc/rsyslog.conf

*.*;auth,authpriv.none               -/var/log/syslog

folgendermaßen ergänzen:

*.*;auth,authpriv.none;mail.none                -/var/log/syslog

Anschließend den Rsyslog neustarten. Damit werden keine Mail-Log-Events mehr in /var/log/syslog geschrieben.
Vergleich zwischen RSyslog und Syslog-NG findet Ihr hier.
KategorienHowto Tags:
  1. Bisher keine Kommentare
  1. Bisher keine Trackbacks