15.4. RELP で logging RHEL システムロールの使用

手順

1. 次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。

   ---
   - name: Configure client-side of the remote logging solution using RELP
     hosts: managed-node-01.example.com
     tasks:
       - name: Deploy basic input and RELP output
         ansible.builtin.include_role:
           name: rhel-system-roles.logging
         vars:
           logging_inputs:
             - name: basic_input
               type: basics
           logging_outputs:
             - name: relp_client
               type: relp
               target: logging.server.com
               port: 20514
               tls: true
               ca_cert: /etc/pki/tls/certs/ca.pem
               cert: /etc/pki/tls/certs/client-cert.pem
               private_key: /etc/pki/tls/private/client-key.pem
               pki_authmode: name
               permitted_servers:
                 - '*.server.example.com'
           logging_flows:
             - name: example_flow
               inputs: [basic_input]
               outputs: [relp_client]

   サンプル Playbook で指定されている設定は次のとおりです。

   target

   リモートロギングシステムが稼働しているホスト名を指定する必須パラメーターです。

   port

   リモートロギングシステムがリッスンしているポート番号です。

   tls

   ネットワーク上でログをセキュアに転送します。セキュアなラッパーが必要ない場合は、tls 変数を false に設定します。デフォルトでは tls パラメーターは true に設定されますが、RELP を使用する場合には鍵/証明書およびトリプレット {ca_cert、cert、private_key} や {ca_cert_src、cert_src、private_key_src} が必要です。

   • {ca_cert_src、cert_src、private_key_src} のトリプレットを設定すると、デフォルトの場所 (/etc/pki/tls/certs と /etc/pki/tls/private) が、コントロールノードからファイルを転送するため、管理対象ノードの宛先として使用されます。この場合、ファイル名はトリプレットの元の名前と同じです。
   • {ca_cert、cert、private_key} トリプレットが設定されている場合は、ファイルはロギング設定の前にデフォルトのパスに配置されている必要があります。
   • トリプレットの両方が設定されている場合には、ファイルはコントロールノードのローカルのパスから管理対象ノードの特定のパスへ転送されます。

   ca_cert

   CA 証明書へのパスを表します。デフォルトのパスは /etc/pki/tls/certs/ca.pem で、ファイル名はユーザーが設定します。

   cert

   証明書へのパスを表します。デフォルトのパスは /etc/pki/tls/certs/server-cert.pem で、ファイル名はユーザーが設定します。

   private_key

   秘密鍵へのパスを表します。デフォルトのパスは /etc/pki/tls/private/server-key.pem で、ファイル名はユーザーが設定します。

   ca_cert_src

   ローカルの CA 証明書ファイルパスを表します。これは管理対象ノードにコピーされます。ca_cert を指定している場合は、その場所にコピーされます。

   cert_src

   ローカルの証明書ファイルパスを表します。これは管理対象ノードにコピーされます。cert を指定している場合には、その証明書が場所にコピーされます。

   private_key_src

   ローカルキーファイルのパスを表します。これは管理対象ノードにコピーされます。private_key を指定している場合は、その場所にコピーされます。

   pki_authmode

   name または fingerprint の認証モードを使用できます。

   permitted_servers

   ロギングクライアントが、TLS 経由での接続およびログ送信を許可するサーバーのリスト。

   inputs

   ロギング入力ディクショナリーのリスト。

   outputs

   ロギング出力ディクショナリーのリスト。

   Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.logging/README.md ファイルを参照してください。

2. Playbook の構文を検証します。

   $ ansible-playbook --syntax-check ~/playbook.yml

   このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

3. Playbook を実行します。

   $ ansible-playbook ~/playbook.yml

手順

1. 次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。

   ---
   - name: Configure server-side of the remote logging solution using RELP
     hosts: managed-node-01.example.com
     tasks:
       - name: Deploying remote input and remote_files output
         ansible.builtin.include_role:
           name: rhel-system-roles.logging
         vars:
           logging_inputs:
             - name: relp_server
               type: relp
               port: 20514
               tls: true
               ca_cert: /etc/pki/tls/certs/ca.pem
               cert: /etc/pki/tls/certs/server-cert.pem
               private_key: /etc/pki/tls/private/server-key.pem
               pki_authmode: name
               permitted_clients:
                 - '*example.client.com'
           logging_outputs:
             - name: remote_files_output
               type: remote_files
           logging_flows:
             - name: example_flow
               inputs: relp_server
               outputs: remote_files_output

   サンプル Playbook で指定されている設定は次のとおりです。

   port

   リモートロギングシステムがリッスンしているポート番号です。

   tls

   ネットワーク上でログをセキュアに転送します。セキュアなラッパーが必要ない場合は、tls 変数を false に設定します。デフォルトでは tls パラメーターは true に設定されますが、RELP を使用する場合には鍵/証明書およびトリプレット {ca_cert、cert、private_key} や {ca_cert_src、cert_src、private_key_src} が必要です。

   • {ca_cert_src、cert_src、private_key_src} のトリプレットを設定すると、デフォルトの場所 (/etc/pki/tls/certs と /etc/pki/tls/private) が、コントロールノードからファイルを転送するため、管理対象ノードの宛先として使用されます。この場合、ファイル名はトリプレットの元の名前と同じです。
   • {ca_cert、cert、private_key} トリプレットが設定されている場合は、ファイルはロギング設定の前にデフォルトのパスに配置されている必要があります。
   • トリプレットの両方が設定されている場合には、ファイルはコントロールノードのローカルのパスから管理対象ノードの特定のパスへ転送されます。

   ca_cert

   CA 証明書へのパスを表します。デフォルトのパスは /etc/pki/tls/certs/ca.pem で、ファイル名はユーザーが設定します。

   cert

   証明書へのパスを表します。デフォルトのパスは /etc/pki/tls/certs/server-cert.pem で、ファイル名はユーザーが設定します。

   private_key

   秘密鍵へのパスを表します。デフォルトのパスは /etc/pki/tls/private/server-key.pem で、ファイル名はユーザーが設定します。

   ca_cert_src

   ローカルの CA 証明書ファイルパスを表します。これは管理対象ノードにコピーされます。ca_cert を指定している場合は、その場所にコピーされます。

   cert_src

   ローカルの証明書ファイルパスを表します。これは管理対象ノードにコピーされます。cert を指定している場合には、その証明書が場所にコピーされます。

   private_key_src

   ローカルキーファイルのパスを表します。これは管理対象ノードにコピーされます。private_key を指定している場合は、その場所にコピーされます。

   pki_authmode

   name または fingerprint の認証モードを使用できます。

   permitted_clients

   ロギングサーバーが TLS 経由での接続およびログ送信を許可するクライアントのリスト。

   inputs

   ロギング入力ディクショナリーのリスト。

   outputs

   ロギング出力ディクショナリーのリスト。

   Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.logging/README.md ファイルを参照してください。

2. Playbook の構文を検証します。

   $ ansible-playbook --syntax-check ~/playbook.yml

   このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

3. Playbook を実行します。

   $ ansible-playbook ~/playbook.yml