FreeBSD/syslog の変更点
*syslog [#d8e596d7]
syslogには、ログを別のsyslogサーバに転送する機能がある。~
syslogでは、その機能を使って各サーバのログを1カ所に集めることで、ログの一元管理を実現できる。
#contents
**環境 [#tacbdd6a]
転送元: 172.16.1.50
転送先: 172.16.1.100
**転送元の設定 [#k2c2280a]
***/etc/hostsの編集 [#t90688a9]
127.0.0.1 localhost localhost.my.domain
172.16.1.50 moto.mydomain.co.jp moto
172.16.1.100 saki.mydomain.co.jp saki
***ログ転送の設定 [#c4b3f7d0]
# vi /etc/syslog.conf
# uncomment this to enable logging to a remote loghost named loghost
*.* @loghost
**転送先の設定 [#cf39677a]
***/etc/hostsの設定 [#ye958fba]
127.0.0.1 localhost localhost.my.domain
172.16.1.50 moto.mydomain.co.jp moto
172.16.1.100 saki.mydomain.co.jp saki
***/etc/syslog.confの設定 [#t0f11c52]
# touch /var/log/all.log and chmod it to mode 600 before it will work
*.* /var/log/all.log
# touch /var/log/all.log
# chmod 600 /var/log/all.log
***/etc/rc.confの設定 [#d3962290]
# syslog
syslogd_flags="-a 172.16.1.0/24:*"
***syslogの再起動 [#b1c59a33]
# /etc/rc.d/syslogd restart
**確認 [#l243d2c6]
***ポートが空いているか [#ibd98e59]
下記のようになっていれば、パケットを受けられる状態です。
# netstat -an |grep -i udp|grep 514
udp4 0 0 *.514 *.*
***転送元からパケットが流れてきてるか [#ze5db2ba]
バラバラとメッセージが出てくれば、転送元よりパケットが流れて来てます。
# tcpdump -n -i sis0 udp and dst host 172.16.1.50 and dst port 514
***/var/log/all.logの確認 [#af707b3a]
転送元からのログが取得できていれば正常です。
# tail -f /var/log/all.log
May 29 09:50:00 moto /usr/sbin/cron[1314]: (root) CMD (/usr/libexec/atrun)
May 29 09:59:29 moto sshd[1342]: Accepted password for matsui from 172.16.1.15 port 50847 ssh2
