*rsyslog [#g5e6da80] RIGHT:更新日&lastmod(); rsyslogでsyslogデータを転送 ***syslog Server [#k588e95f] IP 192.168.10.227 ''/etc/rsyslog.conf'' # Provides UDP syslog reception $ModLoad imudp ←コメントを外す(UDPで受信) $UDPServerRun 514 ←コメントを外す # Provides TCP syslog reception $ModLoad imtcp ←コメントを外す(TCPで受信) $InputTCPServerRun 514 ←コメントを外す # 許可送信サーバを指定 $AllowedSender TCP, 192.168.10.0/24 ログの保存場所を指定 ファシリティ(local1,local2など)により保存場所を指定 ''/etc/rsyslog.d/test.conf''作成 # Save log from remote server local1.* /var/log/local1.log local2.* /var/log/local2.log authpriv.* /var/log/vine6x_secure.log rsyslogを再起動 # /etc/rc.d/init.d/rsyslog restart ***syslog Client [#u5236347] IP 192.168.10.204 ログ転送先のIPとプロトコルを指定 ''/etc/rsyslog.d/test.conf''作成 # Send log to remote server local1.* @192.168.10.227 # UDP で送信する local2.* @@192.168.10.227 # TCP で送信する # Login情報を送信(ファシリティ:authpriv プライオリティ:*) authpriv.* @@192.168.10.227 @の数でTCP/UDPを決める rsyslogを再起動 # /etc/rc.d/init.d/rsyslog restart ''動作確認'' Clientで手動ログ作成 UDPでログ作成 ファシリティ:local1 プライオリティ:debugで「TEST MESSAGE BY UDP」というlogを作成 # logger -p local1.debug TEST MESSAGE BY UDP TCPでログ作成 # logger -p local2.debug TEST MESSAGE BY TCP Serverで # less /var/log/local1.log Feb 19 20:06:15 localhost okada: TEST MESSAGE BY UDP # less /var/log/local2.log Feb 19 20:06:24 localhost okada: TEST MESSAGE BY TCP ClientにTeratermでloginすると # less /var/log/vine6x_secure.log Feb 19 20:13:54 localhost sshd[21024]: pam_winbind(sshd:account): valid_user: wbcGetpwnam gave WBC_ERR_DOMAIN_NOT_FOUND Feb 19 20:13:54 localhost sshd[21024]: Accepted password for okada from 192.168.10.47 port 51344 ssh2 Feb 19 20:13:54 localhost sshd[21024]: pam_unix(sshd:session): session opened for user okada by (uid=0) Feb 19 20:14:38 localhost sshd[21048]: Received disconnect from 192.168.10.47: 2: disconnected by server request Feb 19 20:14:38 localhost sshd[21024]: pam_unix(sshd:session): session closed for user okada **CentOS7のファイアウォール [#q7bae2af] 以下のコマンドで停止 # systemctl stop firewalld -http://www.unix-power.net/centos7/firewalld.html **参考 [#v2e0c3ce] -http://nagamee.hatenadiary.jp/entry/2014/09/28/141719 -[[ファシリティ/プライオリティ:http://www.atmarkit.co.jp/ait/articles/0209/07/news002_2.html]]