admin.txt

… заметки IT’шника…

Настройка отправки логов c хостов-клиентов на сервер RSyslog.

Имея запущенный сервер сбора логов на основе Rsyslog, прослушивающий 514 порт TCP и UDP протоколов и настроенный на фильтрацию с последующей записью логов в базу данных (например MySQL). Необходимо настроить, так сказать, «клиентское окружение», т.е. все те хосты и устройства, логи с которых необходимо централизованно хранить и обрабатывать (отправку логов на удаленный сервер поддерживают не только *.nix машины, но и любые устройства поддерживающие общепринятый формат сообщений syslog’а. Напрмер, ADSL модемы и сетевые коммутаторы.) .

При настройке устройств на отправку логов удаленному серверу возможны несколько вариантов:

  • Настройка визуальными средствами, используя заложенные производителем методы конфигурации (web- интерфейс свитчей или модемов, интерфейс клиента ESXi);
  • Настойка системного демона syslogd, правкой конфигурационного файла (*nix системы), процесс описан ниже по тексту;
  • Замена системного syslogd на RSyslog (например, для более гибкой фильтрации логов, записи сообщений сразу в удаленную базу или при конфигурировании промежуточного сервера сбора логов (relay сервер)).
  • Настройка хоста под управлением ОС Windows, для чего пока есть только платные варианты (используя EventReporter или MonitorWare Agent).

Тут картко опишу настройку стандартного демона обработки логов syslog, для пересылки их на удаленный сервер, итак:.

Настройка систем, использующих стандартный демон syslogd, на удаленную пересылку логов.

В первую очередь должен быть готов сам сервер, принимающий соединения на 514 UDP порту.

Для пересылки всех сообщений на удаленный сервер, необходимо в конфигурационный файл Syslog , расположенный по адресу /etc/syslog.conf добавить одну строчку:

*.*     @192.168.5.5

или

*.*     @rsyslog-server.firma.corp

Возможно использование фильтров на основе структуры facility.serverity, например для отправки только сообщений уровня warning или более важного уровня:

*.warning                        @192.168.5.5

Возможно применение исключений, например передавать все логии, за исключением facility равного authpriv:

*.*;authpriv.none              @192.168.5.5

Отправка только указанных сообщений для выбранного facility.serverity, без отправки сообщений с serverity выше указанной:

mail.=debug                   @rsyslog-server.itransition.corp

Для вступления в силу всех внесенных изменений необходимо перезагрузить хост или перезапустить сервис:

/etc/init.d/syslogd restart

После прихода отправленных сообщений на сервер сбора логов, они обрабатываются согласно конфигурации RSyslog на сервере.

Ну и еще, хочу заметить, что эти же настройки можно использовать и для RSyslog (если вы все таки заменили системного демона syslogd). В таком случае для отправки сообщений на сервер используя TCP а не UDP протокол, необходимо использовать удвоеный знак @@, Например:

#Пересылка используя TCP
*.*     @@192.168.5.5

Более подробно об обработке сообщений RSyslog написано тут.

Реклама

Декабрь 31, 2008 - Posted by | Linux, Uncategorized |

Комментариев нет.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: