対象サーバについて
製品名 | OpenBlockS 600 |
OS(kernel ver) | Debian lenny(2.6.29) |
CPU | 600MHz(AMCC PowerPC 405EX) |
メモリ | 1GB(DDR2 SDRAM) |
ストレージ | 8GB(Compact Flash) |
ポート状態確認
# netstat -an Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State
→UDP:514番は開いていないことを事前に確認します。
コンフィグ設定
ログの量が多いため、下記のtableに記したログファイル以外(/var/log/messageやsyslogなど)には一切出力しないこととします。
当サーバで受信するfacility/level
アプリケーション、ルータからは以下のfacility/levelで送信します。
アプリケーション | facility | ログファイル |
---|---|---|
dhcp3-server | facility7.* | /var/log/dhcp3-server.log |
router | facility0.* | /var/log/router.log |
iptables(LOGを指定した場合) | kern.debug | /var/log/iptables.log |
コンフィグ設定
編集するファイル:/etc/rsyslog.conf
# provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 ... # # First some standard log files. Log by facility. # auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none,local0.none,local7.none;kern.!=debug -/var/log/syslog ... local0.* /var/log/router.log local7.* /var/log/dhcp3-server.log kern.=debug /var/log/iptables.log ... *.=debug;\ auth,authpriv.none;\ news.none;mail.none;kern.none -/var/log/debug *.=info;*.=notice;*.=warn;\ auth,authpriv.none;\ cron,daemon.none;\ mail,news.none;\ local0,local7.none -/var/log/messages
上記設定について
- $ModLoad imudp
- リモートホストのログをUDPで受け付けるためimudpモジュールをロード
- $UDPServerRun 514
- 514番ポートを使用
- *.*;auth,authpriv.none,local0.none,local7.none;kern.!=debug -/var/log/syslog
-
先頭部分で*.*として全facility/levelを当てはめた上で、不要なログを省いている。
今回は新たにfacility=local0とlocal7の全levelと、kern.debugを省いている。
- local0.* /var/log/router.log
-
本設定にて必要なfacility.levelのみを取得する設定を行っている。
iptablesとdhcp3-serverも同様に設定する。
- *.=debug;からの3行
-
levelがdebugのlogを/var/log/debugに保存し、XXX.noneにて不要なログを省いている。
今回は新たにkern.noneにてkern.debugを除外している。
- *.=info;*.=notice;*.=warn;から始まる5行
-
levelがinfo,notice,warnのlogを/var/log/messagesに保存し、XXX.noneにて不要なログを省いている。
今回は新たにlocal0,local7.noneを設定することにより、local0.info、local0.notice、local0.warn、local7.info、local7.notice、local7.warnを除外している。
サービスを再起動します。
# /etc/init.d/rsyslog restart Stopping enhanced syslogd: rsyslogd. Starting enhanced syslogd: rsyslogd. www:/# netstat -an udp 0 0 0.0.0.0:514 0.0.0.0:* udp6 0 0 :::514 :::*
→UDP:514ポートが開放されました。