第6章 ロギングの設定

手順

1. 必要に応じて、rsyslog トラフィックに別のポートを使用するには、SELinux タイプ syslogd_port_t をポートに追加します。たとえば、ポート 30514 を有効にします。

   # semanage port -a -t syslogd_port_t -p tcp 30514

   Copy to Clipboard Toggle word wrap

2. 必要に応じて、rsyslog トラフィックに別のポートを使用するには、firewalld がそのポートでの着信 rsyslog トラフィックを許可するように設定します。たとえば、ポート30514 で TCP トラフィックを許可します。

   # firewall-cmd --zone=<zone-name> --permanent --add-port=30514/tcp
   success
   # firewall-cmd --reload

   Copy to Clipboard Toggle word wrap

3. /etc/rsyslog.d/ ディレクトリーに新規ファイル (例: remotelog.conf) を作成し、以下のコンテンツを挿入します。

   # Define templates before the rules that use them
   # Per-Host templates for remote systems
   template(name="TmplAuthpriv" type="list") {
       constant(value="/var/log/remote/auth/")
       property(name="hostname")
       constant(value="/")
       property(name="programname" SecurePath="replace")
       constant(value=".log")
       }
   
   template(name="TmplMsg" type="list") {
       constant(value="/var/log/remote/msg/")
       property(name="hostname")
       constant(value="/")
       property(name="programname" SecurePath="replace")
       constant(value=".log")
       }
   
   # Provides TCP syslog reception
   module(load="imtcp")
   
   # Adding this ruleset to process remote messages
   ruleset(name="remote1"){
        authpriv.*   action(type="omfile" DynaFile="TmplAuthpriv")
         *.info;mail.none;authpriv.none;cron.none
   action(type="omfile" DynaFile="TmplMsg")
   }
   
   input(type="imtcp" port="30514" ruleset="remote1")

   Copy to Clipboard Toggle word wrap
4. /etc/rsyslog.d/remotelog.conf ファイルへの変更を保存します。

5. /etc/rsyslog.conf ファイルの構文をテストします。

   # rsyslogd -N 1
   rsyslogd: version 8.1911.0-2.el8, config validation run...
   rsyslogd: End of config validation run. Bye.

   Copy to Clipboard Toggle word wrap

6. Rsyslog サービスがロギングサーバーで実行中で、有効になっていることを確認します。

   # systemctl status rsyslog

   Copy to Clipboard Toggle word wrap

7. rsyslog サービスを再起動します。

   # systemctl restart rsyslog

   Copy to Clipboard Toggle word wrap

8. 必要に応じて、rsyslog が有効になっていない場合は、再起動後に rsyslog サービスが自動的に起動するようにします。

   # systemctl enable rsyslog

   Copy to Clipboard Toggle word wrap

手順

1. /etc/rsyslog.d/ ディレクトリーに新規ファイル (例: 10-remotelog.conf) を作成し、以下のコンテンツを挿入します。

   *.* action(type="omfwd"
         queue.type="linkedlist"
         queue.filename="example_fwd"
         action.resumeRetryCount="-1"
         queue.saveOnShutdown="on"
         target="example.com" port="30514" protocol="tcp"
        )

   Copy to Clipboard Toggle word wrap

   ここでは、以下のようになります。

   • queue.type="linkedlist" 設定は、LinkedList インメモリーキューを有効にします。
   • queue.filename 設定は、ディスクストレージを定義します。バックアップファイルは、前のグローバルの workDirectory ディレクティブで指定された作業ディレクトリーに example_fwd 接頭辞を付けて作成されます。
   • action.resumeRetryCount -1 設定は、サーバーが応答しない場合に接続を再試行するときに rsyslog がメッセージを破棄しないようにします。
   • queue.saveOnShutdown="on" 設定は、rsyslog がシャットダウンした場合にインメモリーデータを保存します。

   • 最後の行は、受信したすべてのメッセージをロギングサーバーに転送します。ポートの指定は任意です。

     この設定では、rsyslog はメッセージをサーバーに送信しますが、リモートサーバーに到達できない場合には、メッセージをメモリーに保持します。ディスク上にあるファイルは、設定されたメモリーキュー領域が rsyslog で不足するか、シャットダウンする必要がある場合にのみ作成されます。これにより、システムパフォーマンスが向上します。

   注記

   Rsyslog は設定ファイル /etc/rsyslog.d/ を字句順に処理します。

2. rsyslog サービスを再起動します。

   # systemctl restart rsyslog

   Copy to Clipboard Toggle word wrap

1. クライアントシステムで、テストメッセージを送信します。

   # logger test

   Copy to Clipboard Toggle word wrap

2. サーバーシステムで、/var/log/messages ログを表示します。以下に例を示します。

   # cat /var/log/remote/msg/hostname/root.log
   Feb 25 03:53:17 hostname root[6064]: test

   Copy to Clipboard Toggle word wrap

   hostname はクライアントシステムのホスト名です。ログには、logger コマンドを入力したユーザーのユーザー名 (この場合は root) が含まれていることに注意してください。

手順

1. クライアントシステムから暗号化したログを受信するようにサーバーを設定します。

   1. /etc/rsyslog.d/ディレクトリーに、新規ファイル (securelogser.conf など) を作成します。

   2. 通信を暗号化するには、設定ファイルに、サーバーの証明書ファイルへのパス、選択した認証方法、および TLS 暗号化に対応するストリームドライバーが含まれている必要があります。/etc/rsyslog.d/securelogser.conf に以下の行を追加します。

      # Set certificate files
      global(
        DefaultNetstreamDriverCAFile="/etc/pki/ca-trust/source/anchors/ca-cert.pem"
        DefaultNetstreamDriverCertFile="/etc/pki/ca-trust/source/anchors/server-cert.pem"
        DefaultNetstreamDriverKeyFile="/etc/pki/ca-trust/source/anchors/server-key.pem"
      )
      
      # TCP listener
      module(
        load="imtcp"
        PermittedPeer=["client1.example.com", "client2.example.com"]
        StreamDriver.AuthMode="x509/name"
        StreamDriver.Mode="1"
        StreamDriver.Name="ossl"
      )
      
      # Start up listener at port 514
      input(
        type="imtcp"
        port="514"
      )

      Copy to Clipboard Toggle word wrap
      注記

      GnuTLS ドライバーが必要な場合は、StreamDriver.Name="gtls" 設定オプションを使用します。x509/name よりも厳密ではない認証モードの詳細は、rsyslog-doc にインストールされているドキュメントを参照してください。

   3. 変更を /etc/rsyslog.d/securelogser.conf ファイルに保存します。

   4. /etc/rsyslog.conf ファイルの構文と /etc/rsyslog.d/ ディレクトリー内のすべてのファイルを確認します。

      # rsyslogd -N 1
      rsyslogd: version 8.1911.0-2.el8, config validation run (level 1)...
      rsyslogd: End of config validation run. Bye.

      Copy to Clipboard Toggle word wrap

   5. Rsyslog サービスがロギングサーバーで実行中で、有効になっていることを確認します。

      # systemctl status rsyslog

      Copy to Clipboard Toggle word wrap

   6. rsyslog サービスを再起動します。

      # systemctl restart rsyslog

      Copy to Clipboard Toggle word wrap

   7. オプション: Rsyslog が有効になっていない場合は、再起動後に rsyslog サービスが自動的に起動されることを確認してください。

      # systemctl enable rsyslog

      Copy to Clipboard Toggle word wrap

2. 暗号化したログをサーバーに送信するようにクライアントを設定するには、以下のコマンドを実行します。

   1. クライアントシステムで、/etc/rsyslog.d/ディレクトリーに、新規ファイル (securelogcli.conf など) を作成します。

   2. /etc/rsyslog.d/securelogcli.conf に以下の行を追加します。

      # Set certificate files
      global(
        DefaultNetstreamDriverCAFile="/etc/pki/ca-trust/source/anchors/ca-cert.pem"
        DefaultNetstreamDriverCertFile="/etc/pki/ca-trust/source/anchors/client-cert.pem"
        DefaultNetstreamDriverKeyFile="/etc/pki/ca-trust/source/anchors/client-key.pem"
      )
      
      
      # Set up the action for all messages
      *.* action(
        type="omfwd"
        StreamDriver="ossl"
        StreamDriverMode="1"
        StreamDriverPermittedPeers="server.example.com"
        StreamDriverAuthMode="x509/name"
        target="server.example.com" port="514" protocol="tcp"
      )

      Copy to Clipboard Toggle word wrap
      注記

      GnuTLS ドライバーが必要な場合は、StreamDriver.Name="gtls" 設定オプションを使用します。

   3. 変更を /etc/rsyslog.d/securelogcli.conf ファイルに保存します。

   4. /etc/rsyslog.conf ファイルの構文と /etc/rsyslog.d/ ディレクトリー内のその他のファイルを確認します。

      # rsyslogd -N 1
      rsyslogd: version 8.1911.0-2.el8, config validation run (level 1)...
      rsyslogd: End of config validation run. Bye.

      Copy to Clipboard Toggle word wrap

   5. Rsyslog サービスがロギングサーバーで実行中で、有効になっていることを確認します。

      # systemctl status rsyslog

      Copy to Clipboard Toggle word wrap

   6. rsyslog サービスを再起動します。

      # systemctl restart rsyslog

      Copy to Clipboard Toggle word wrap

   7. オプション: Rsyslog が有効になっていない場合は、再起動後に rsyslog サービスが自動的に起動されることを確認してください。

      # systemctl enable rsyslog

      Copy to Clipboard Toggle word wrap

1. クライアントシステムで、テストメッセージを送信します。

   # logger test

   Copy to Clipboard Toggle word wrap

2. サーバーシステムで、/var/log/messages ログを表示します。以下に例を示します。

   # cat /var/log/remote/msg/<hostname>/root.log
   Feb 25 03:53:17 <hostname> root[6064]: test

   Copy to Clipboard Toggle word wrap

   <hostname> はクライアントシステムのホスト名です。ログには、logger コマンドを入力したユーザーのユーザー名 (この場合は root) が含まれていることに注意してください。

手順

1. 必要に応じて、デフォルトのポート 514 以外の rsyslog トラフィックに別のポートを使用するには、次のコマンドを実行します。

   1. SELinux ポリシー設定に syslogd_port_t SELinux タイプを追加し、portno は rsyslog で使用するポート番号に置き換えます。

      # semanage port -a -t syslogd_port_t -p udp portno

      Copy to Clipboard Toggle word wrap

   2. rsyslog の受信トラフィックを許可するように firewalld を設定します。portno はポート番号に、zone は rsyslog が使用するゾーンに置き換えます。

      # firewall-cmd --zone=zone --permanent --add-port=portno/udp
      success
      # firewall-cmd --reload

      Copy to Clipboard Toggle word wrap

   3. ファイアウォールルールを再読み込みします。

      # firewall-cmd --reload

      Copy to Clipboard Toggle word wrap

2. /etc/rsyslog.d/ ディレクトリーに .conf の新規ファイル (例: remotelogserv.conf) を作成し、以下のコンテンツを挿入します。

   # Define templates before the rules that use them
   # Per-Host templates for remote systems
   template(name="TmplAuthpriv" type="list") {
       constant(value="/var/log/remote/auth/")
       property(name="hostname")
       constant(value="/")
       property(name="programname" SecurePath="replace")
       constant(value=".log")
       }
   
   template(name="TmplMsg" type="list") {
       constant(value="/var/log/remote/msg/")
       property(name="hostname")
       constant(value="/")
       property(name="programname" SecurePath="replace")
       constant(value=".log")
       }
   
   # Provides UDP syslog reception
   module(load="imudp")
   
   # This ruleset processes remote messages
   ruleset(name="remote1"){
        authpriv.*   action(type="omfile" DynaFile="TmplAuthpriv")
         *.info;mail.none;authpriv.none;cron.none
   action(type="omfile" DynaFile="TmplMsg")
   }
   
   input(type="imudp" port="514" ruleset="remote1")

   Copy to Clipboard Toggle word wrap

   514 は、rsyslog がデフォルトで使用するポート番号です。代わりに別のポートを指定できます。

3. /etc/rsyslog.conf ファイルの構文と /etc/rsyslog.d/ ディレクトリー内の全 .conf ファイルを確認します。

   # rsyslogd -N 1
   rsyslogd: version 8.1911.0-2.el8, config validation run...

   Copy to Clipboard Toggle word wrap

4. rsyslog サービスを再起動します。

   # systemctl restart rsyslog

   Copy to Clipboard Toggle word wrap

5. 必要に応じて、rsyslog が有効になっていない場合は、再起動後に rsyslog サービスが自動的に起動するようにします。

   # systemctl enable rsyslog

   Copy to Clipboard Toggle word wrap

手順

1. /etc/rsyslog.d/ ディレクトリーに .conf の新規ファイル (例: 10-remotelogcli.conf) を作成し、以下のコンテンツを挿入します。

   *.* action(type="omfwd"
         queue.type="linkedlist"
         queue.filename="example_fwd"
         action.resumeRetryCount="-1"
         queue.saveOnShutdown="on"
         target="example.com" port="portno" protocol="udp"
        )

   Copy to Clipboard Toggle word wrap

   ここでは、以下のようになります。

   • queue.type="linkedlist" 設定は、LinkedList インメモリーキューを有効にします。
   • queue.filename 設定は、ディスクストレージを定義します。バックアップファイルは、前のグローバルの workDirectory ディレクティブで指定された作業ディレクトリーに example_fwd 接頭辞を付けて作成されます。
   • action.resumeRetryCount -1 設定は、サーバーが応答しない場合に接続を再試行するときに rsyslog がメッセージを破棄しないようにします。
   • queue.saveOnShutdown="on" 設定を有効にすると、rsyslog がシャットダウンした場合にインメモリーデータが保存されます。
   • portno 値は、rsyslog で使用するポート番号です。デフォルト値は 514 です。

   • 最後の行は受信メッセージをすべてロギングサーバーに転送します。ポートの指定は任意です。

     この設定では、rsyslog はメッセージをサーバーに送信しますが、リモートサーバーに到達できない場合には、メッセージをメモリーに保持します。ディスク上にあるファイルは、設定されたメモリーキュー領域が rsyslog で不足するか、シャットダウンする必要がある場合にのみ作成されます。これにより、システムパフォーマンスが向上します。

   注記

   Rsyslog は設定ファイル /etc/rsyslog.d/ を字句順に処理します。

2. rsyslog サービスを再起動します。

   # systemctl restart rsyslog

   Copy to Clipboard Toggle word wrap

3. 必要に応じて、rsyslog が有効になっていない場合は、再起動後に rsyslog サービスが自動的に起動するようにします。

   # systemctl enable rsyslog

   Copy to Clipboard Toggle word wrap

1. クライアントシステムで、テストメッセージを送信します。

   # logger test

   Copy to Clipboard Toggle word wrap

2. サーバーシステムで、/var/log/remote/msg/hostname/root.log ログを表示します。以下に例を示します。

   # cat /var/log/remote/msg/hostname/root.log
   Feb 25 03:53:17 hostname root[6064]: test

   Copy to Clipboard Toggle word wrap

   hostname はクライアントシステムのホスト名です。ログには、logger コマンドを入力したユーザーのユーザー名 (この場合は root) が含まれていることに注意してください。

手順

1. 信頼できるリモートロギング用にクライアントシステムを設定します。

   1. クライアントシステムの /etc/rsyslog.d/ ディレクトリーに、relpclient.conf などと名前を指定して新しい .conf ファイルを作成し、以下のコンテンツを挿入します。

      module(load="omrelp")
      *.* action(type="omrelp" target="_target_IP_" port="_target_port_")

      Copy to Clipboard Toggle word wrap

      ここでは、以下のようになります。

      • target_IP は、ロギングサーバーの IP アドレスに置き換えます。
      • target_port はロギングサーバーのポートに置き換えます。
   2. 変更を /etc/rsyslog.d/relpclient.conf ファイルに保存します。

   3. rsyslog サービスを再起動します。

      # systemctl restart rsyslog

      Copy to Clipboard Toggle word wrap

   4. 必要に応じて、rsyslog が有効になっていない場合は、再起動後に rsyslog サービスが自動的に起動するようにします。

      # systemctl enable rsyslog

      Copy to Clipboard Toggle word wrap

2. 信頼できるリモートロギング用にサーバーシステムを設定します。

   1. サーバーシステムの /etc/rsyslog.d/ ディレクトリーに、relpserv.conf などと名前を指定して新しい .conf ファイルを作成し、以下のコンテンツを挿入します。

      ruleset(name="relp"){
      *.* action(type="omfile" file="_log_path_")
      }
      
      
      module(load="imrelp")
      input(type="imrelp" port="_target_port_" ruleset="relp")

      Copy to Clipboard Toggle word wrap

      ここでは、以下のようになります。

      • log_path は、メッセージを保存するパスを指定します。
      • target_port はロギングサーバーのポートに置き換えます。クライアント設定ファイルと同じ値を使用します。
   2. /etc/rsyslog.d/relpserv.conf ファイルへの変更を保存します。

   3. rsyslog サービスを再起動します。

      # systemctl restart rsyslog

      Copy to Clipboard Toggle word wrap

   4. 必要に応じて、rsyslog が有効になっていない場合は、再起動後に rsyslog サービスが自動的に起動するようにします。

      # systemctl enable rsyslog

      Copy to Clipboard Toggle word wrap

1. クライアントシステムで、テストメッセージを送信します。

   # logger test

   Copy to Clipboard Toggle word wrap

2. サーバーシステムで、指定された log_path でログを表示します。以下に例を示します。

   # cat /var/log/remote/msg/hostname/root.log
   Feb 25 03:53:17 hostname root[6064]: test

   Copy to Clipboard Toggle word wrap

   hostname はクライアントシステムのホスト名です。ログには、logger コマンドを入力したユーザーのユーザー名 (この場合は root) が含まれていることに注意してください。

手順

1. netconsole-service パッケージをインストールします。

   # yum install netconsole-service

   Copy to Clipboard Toggle word wrap

2. /etc/sysconfig/netconsole ファイルを編集し、SYSLOGADDR パラメーターをリモートホストの IP アドレスに設定します。

   # SYSLOGADDR=192.0.2.1

   Copy to Clipboard Toggle word wrap

3. netconsole サービスを有効にして起動します。

   # systemctl enable --now netconsole

   Copy to Clipboard Toggle word wrap