apache・audit・PowerDNSなどはログをsyslog転送して、 |
公開日 | FILE | SIZE | MD5 | 更新内容 |
---|---|---|---|---|
2019/05/10 | logger_20190510.tar.gz | 2.9KB | c07f49574cdbecd8b0d1197e5ab98f3a | 初公開 |
CentOS/Debian/openSUSE用のインストーラを同梱していますので、
下記コマンドの通りスクリプトを実行してインストールしてから使って下さい。
# wget "https://www.ns-lab.org/files/logger/logger_latest.tar.gz" # tar zxvf logger_latest.tar.gz # cd logger # ./install.sh
手動インストールを行う場合、下記を参考に各ファイルをコピーしつつ、
実行ファイル・コンフィグのパーミッションを適切に設定して下さい
# cp logger/environment/logger.sysconfig /etc/sysconfig/logger # chown root.root /etc/sysconfig/logger # chmod 644 /etc/sysconfig/logger # cp logger/init.d/logger.centos /etc/init.d/logger # chown root.root /etc/init.d/logger # chmod 755 /etc/init.d/logger # cp logger/logger-exec /usr/local/sbin/ # chown root.root /usr/local/sbin/logger-exec # chmod 755 /usr/local/sbin/logger-exec # mkdir -p /etc/logger # cp logger/logger.conf /etc/logger/ # chown root.root /etc/logger/logger.conf # chmod 644 /etc/logger/logger.conf # chkconfig --add logger # chkconfig logger on # systemctl daemon-reload
スクリプトを実行するには、下記2ファイルの設定が必要となります。
環境変数についてはデフォルト状態で動作しますが、
スクリプトのログ読込み設定については環境に合わせて再設定して下さい。
/etc/sysconfig/logger |
/etc/logger/logger.conf |
取得したログをリモートサーバにsyslog転送するには、rsyslog・syslog-ngの設定変更も必要になります。
local1の全ログをIPアドレス10.0.0.1、
local2の全ログをIPアドレス10.0.0.2に転送する場合、rsyslogには下記の様な設定を追加して下さい。
/etc/rsyslog.conf |
スクリプトの全設定を行った後、initスクリプトを実行するとloggerが起動します。
起動オプション・停止コマンドは下記の通りとなっています。
/etc/init.d/logger start
/etc/init.d/logger stop
/etc/init.d/logger restart
スクリプトが正常に起動しつつ、rsyslog・syslog-ngのリモート転送も設定している場合、
ログ転送先(図のサーバB)では下記の様なログを取得する事が出来ます。
ログが転送されて来ない場合、何処かの設定が失敗しているので設定・パーミッションを見直して下さい。
May 10 00:15:00 server audit: type=CRYPTO_KEY_USER msg=audit(1557414900.XXX:415): pid=*** uid=0 ... May 10 00:15:00 server audit: type=CRYPTO_KEY_USER msg=audit(1557414900.XXX:416): pid=*** uid=0 ... May 10 00:15:00 server audit: type=CRYPTO_KEY_USER msg=audit(1557414900.XXX:417): pid=*** uid=0 ...