Användarverktyg

Webbverktyg


teknik:fjaerrloggning_i_debian

Fjärrloggning i Debian

Det här dokumentet beskriver hur skickar och tar emot loggar från och till en Debian-server. Instruktionerna gäller rsyslog som är syslog-tjänsten i både Debian Squeeze och Ubuntu Precise, så dokumentet gäller även Ubuntu Precise.

Inga paket behöver installeras eftersom rsyslog redan är installerad, och startad, som standard.

Konfiguration på server

På servern som tar emot loggarna brukar jag skapa /var/log/remote för fjärrloggar.

mkdir /var/log/remote

Skapa en ny fil under /etc/rsyslog.d/remote.conf som kan se ut så här.

$ModLoad imudp
$UDPServerRun 514

$ModLoad imtcp
$InputTCPServerRun 514

$template RemoteHost,"/var/log/remote/%HOSTNAME%/%syslogfacility-text%-%$NOW%.log"

auth.*,mail.*,daemon.* -?RemoteHost

Detta är allt som behövs för att börja logga meddelanden till /var/log/remote och placera dem i underkataloger efter vilket värdnamn de kommer ifrån.

De första fyra raderna säger åt rsyslog att lyssna på både TCP/514 och UDP/514 efter inkommande loggar.

$template är en mall man kan skicka loggar till för att tillämpa regler, som vilken katalog de ska hamna i t.ex.

Till sist skickas fyra olika faciliteter till mallen, det går att efterlikna konfiguration från /etc/rsyslog.conf här för att skicka egna typer av loggar till den definierade mallen.

Konfiguration på klient

Klienten är den som ska skicka loggar. Där kan /etc/rsyslog.d/remote.conf se ut så här.

$ActionQueueType LinkedList
$ActionQueueFileName centralwork
$ActionResumeRetryCount -1
$ActionQueueSaveOnShutdown on

auth,mail.* @(z2)10.110.100.105:514

Alternativen framför ip-adressen (@(z2)) säger två saker, använd TCP och använt en viss nivå av komprimering. Läs mer i |rsyslog.conf(5) och på rsyslog.com.

Tips & Knep

Används SNMP så är det otroligt nyttigt att ha följande rad antingen på syslog-klienter eller på servern.

if $programname 'snmpd' and ( $msg contains 'Connection from UDP' or $msg contains 'Received SNMP packet(s) from UDP' ) then ~

Skickar klienterna inget värdnamn, som är fallet med vissa Cisco-enheter, så kan följande rader hjälpa.

:fromhost-ip, isequal, "10.110.254.1" /var/log/remote/fw1.log;RSYSLOG_FileFormat
& ~
:fromhost-ip, isequal, "10.110.254.2" /var/log/remote/fw1-standby.log;RSYSLOG_FileFormat
& ~
teknik/fjaerrloggning_i_debian.txt · Senast uppdaterad: 2013-01-31 18:36 av stemid