25.6. ロギングサーバーでの rsyslog の設定
rsyslog
サービスは、ロギングサーバーを実行する機能と、個別のシステムがログファイルをロギングサーバーに送信するように設定する機能の両方を提供します。クライアントの rsyslog
設定の詳細は、例25.12「サーバーへのログメッセージの確実な転送」 を参照してください。
rsyslog
サービスは、ロギングサーバーとして使用するシステムと、そのシステムにログを送信するように設定する全システムにインストールする必要があります。rsyslog は、Red Hat Enterprise Linux 6nbsp;Hat Enterprise Linux 6nbsp;LinuxRed Hat Enterprise Linux 6nbsp;6 にデフォルトでインストールされます。必要な場合は、確実にインストールするために root
で以下のコマンドを入力します。
~]# yum install rsyslog
syslog トラフィックのデフォルトのプロトコルおよびポートは、
/etc/services
ファイルに記載されている UDP
および 514
です。ただし、rsyslog
はデフォルトで、ポート 514
で TCP
を使用するように設定されています。設定ファイル /etc/rsyslog.conf
では、TCP
は @@ で示され ます
。
例では他のポートが使用されることがありますが、SELinux には、デフォルトで以下のポートでの送受信のみを許可するように設定されています。
~]# semanage port -l | grep syslog
syslogd_port_t tcp 6514, 601
syslogd_port_t udp 514, 6514, 601
semanage ユーティリティーは、policycoreutils-python パッケージの一部として提供されます。必要な場合は、以下のようにパッケージをインストールします。
~]# yum install policycoreutils-python
さらに、デフォルトでは
rsyslog
の SELinux タイプであるrsyslogd_t
は、SELinux タイプが rsh_port_t
のリモートシェル(rsh
)ポートでの送受信を許可するよう設定されます(デフォルトではポート 514
の TCP
に設定されます)。したがって、semanage を使用してポート 514
で TCP
を明示的に許可する必要はありません。たとえば、SELinux がポート 514
でそのTCPを許可するよう設定されているかを確認するには、以下のコマンドを入力します。
~]# semanage port -l | grep 514 output omitted rsh_port_t tcp 514 syslogd_port_t tcp 6514, 601 syslogd_port_t udp 514, 6514, 601
SELinux の詳細は、『 『Red Hat Enterprise Linux 6 SELinux ユーザーガイド』』 を参照してください。
ロギングサーバーとして使用するシステムで以下の手順を実行します。これらの手順はすべて
root
ユーザーで実行する必要があります。
手順25.5 ポートで rsyslog トラフィックを許可する SELinux の設定
rsyslog
トラフィックに新しいポートを使用する必要がある場合は、ロギングサーバーとクライアントでこの手順を実行します。たとえば、ポート 10514
で TCP
トラフィックを送受信するには、以下の手順を実行します。
~]# semanage port -a -t syslogd_port_t -p tcp 10514
- 以下のコマンドを入力して SELinux ポートを確認します。
~]# semanage port -l | grep syslog
- 新しいポートがすでに
/etc/rsyslog.conf
に設定されている場合は、rsyslog
を再起動して変更を反映します。~]# service rsyslog restart
rsyslog
が現在リッスンしているポートを確認します。~]# netstat -tnlp | grep rsyslog tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 2528/rsyslogd tcp 0 0 :::10514 :::* LISTEN 2528/rsyslogd
semanage port
コマンドの詳細は、man ページの semanage-port(8) を参照してください。
手順25.6 iptables ファイアウォールの設定
iptables
ファイアウォールが、受信 rsyslog
トラフィックを許可するように設定します。たとえば、ポート 10514
で TCP
トラフィックを許可するには、以下の手順を実行します。
- テキストエディターで
/etc/sysconfig/iptables
ファイルを開きます。 - ポート
10514
のTCP
トラフィックを許可するINPUT
ルールを追加します。新しいルールは、REJECT
トラフィックに REJECT ルールの前に
表示される必要があります。-A INPUT -m state --state NEW -m tcp -p tcp --dport 10514 -j ACCEPT
/etc/sysconfig/iptables
ファイルへの変更を保存します。- ファイアウォールの変更を有効にするために
iptables
サービスを再起動します。~]#
service iptables restart
手順25.7 rsyslog で、リモートログメッセージを受信してソートするように設定
- テキストエディターで
/etc/rsyslog.conf
ファイルを開き、以下の手順を実行します。- モジュールセクションと
Provides UDP syslog reception
セクションの間に以下の行を追加します。# Define templates before the rules that use them ### Per-Host Templates for Remote Systems ### $template TmplAuthpriv, "/var/log/remote/auth/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log" $template TmplMsg, "/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
- デフォルトの
Provides TCP syslog reception
セクションを、以下の内容に置き換えます。# Provides TCP syslog reception $ModLoad imtcp # Adding this ruleset to process remote messages $RuleSet remote1 authpriv.* ?TmplAuthpriv *.info;mail.none;authpriv.none;cron.none ?TmplMsg $RuleSet RSYSLOG_DefaultRuleset #End the rule set by switching back to the default rule set $InputTCPServerBindRuleset remote1 #Define a new input and bind it to the "remote1" rule set $InputTCPServerRun 10514
/etc/rsyslog.conf
ファイルへの変更を保存します。 rsyslog
サービスは、ロギングサーバーと、そのサーバーにログ記録を試みるシステムの両方で実行する必要があります。- service コマンドを使用して
rsyslog
サービスを起動します。~]#
service rsyslog start
rsyslog
サービスが今後自動的に起動されるようにするには、root で以下のコマンドを入力します。~]#
chkconfig rsyslog on
環境内の他のシステムからログファイルを受け取り、保存するように、ログサーバーが設定されています。
25.6.1. ロギングサーバーでの新規テンプレート構文の使用
rsyslog 7 にはテンプレートスタイルが多数あります。文字列テンプレートは従来の形式に最もよく似ています。文字列形式を使用して上記の例からテンプレートを生成する場合は、以下のようになります。
template(name="TmplAuthpriv" type="string" string="/var/log/remote/auth/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log" ) template(name="TmplMsg" type="string" string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log" )
また、これらのテンプレートは、以下のようにリスト形式で記述することもできます。
template(name="TmplAuthpriv" type="list") { constant(value="/var/log/remote/auth/") property(name="hostname") constant(value="/") property(name="programname" SecurePath="replace") constant(value=".log") } template(name="TmplMsg" type="list") { constant(value="/var/log/remote/msg/") property(name="hostname") constant(value="/") property(name="programname" SecurePath="replace") constant(value=".log") }このテンプレートテキスト形式は、rsyslog の初心者にとって理解しやすいかもしれません。したがって、要件が変更したら簡単に変更できます。
新規構文への変更を完了するには、モジュールロードコマンドを再作成し、ルールセットを追加して、プロトコル、ポート、およびルールセットにルールセットをバインドする必要があります。
module(load="imtcp") ruleset(name="remote1"){ authpriv.* action(type="omfile" DynaFile="TmplAuthpriv") *.info;mail.none;authpriv.none;cron.none action(type="omfile" DynaFile="TmplMsg") } input(type="imtcp" port="10514" ruleset="remote1")