Management/rsyslog

概要 †

• reliable syslog の意味
• 信頼できる Syslog
• Red Hat Enterprise Linux 6.0 から標準採用
• RHEL 6.x では rsyslog 5.8.x、RHEL 7.x では rsyslog 7.4.x がインストールされている

設定 †

• /etc/rsyslog.conf に基本設定、OS ログの設定が書かれている
• /etc/rsyslog.d/* も読むようになっているため、アプリケーション ログの設定はこちらに書く

モジュールの組み込み †

• ローカルのログを UNIX ソケットで受ける

  $ModLoad imuxsock
  

• カーネル ログを受ける

  $ModLoad imklog
  

• リモートからのログを UDP で受ける

  $ModLoad imudp
  $UDPServerRun 514
  

• リモートからのログを TCP で受ける

  $ModLoad imtcp
  $InputTCPServerRun 514
  

全体設定 †

• デフォルトのフォーマット

  $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
  

予約テンプレート †

• RSYSLOG_ で始まるテンプレートはシステムで予約されている

• RSYSLOG_TraditionalFileFormat のテンプレート

  $template TraditionalFileFormat,"%TIMESTAMP% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"
  

ログ出力 †

• ログのフィルタリング、及び出力の設定
• 上から順番にマッチングが行われる
• 途中に破棄のアクションを入れることで、複数条件へのマッチを防ぐ

• バージョンアップに伴い、新たな記述方法が追加されている
• v8 系では 4 種類の記述方法が可能

ファシリティー/優先度ベースのフィルター †

• 従来の syslogd と同じスタイル

  filter action
  

  • filter
    • facility.priority … ファシリティ、プライオリティの指定 (* も可能)
    • :prop, [!]compare, "str" … 比較条件によるマッチング
  • action
    • dir/filename … ファイルへの出力
    • @ip-addr … リモートの Syslog サーバへ UDP で送信
    • @@ip-addr … リモートの Syslog サーバへ TCP で送信
    • ~ … 破棄
    • 先頭に - を付けると非同期で書き込む

• ex) Local7 のログを /var/log/sample.log に出力する場合

  local7.* /var/log/sample.log
  

• ex)

  *.*   @remoteserver
  :fromhost-ip, isequal, "192.168.1.100" /var/log/message_192.168.1.100
  

プロパティーベースのフィルター †

:prop, [!]compare, "str" action

• prop
  • :fromhost-ip ... 送信元 IP アドレス
  • :hostname ... 送信元ホスト名
  • :msg ... Syslog メッセージ
• [!]compare
  • isequal ... 完全一致による比較
  • contains ... 部分一致による比較
  • regex ... 正規表現による比較
  • ereregex ... 拡張正規表現による比較
  • ! を付けると NOT 条件になる

• ex) 送信元が 192.168.1.100 の場合、/var/log/message_192.168.1.100 に出力する

  *.*   @remoteserver
  :fromhost-ip, isequal, "192.168.1.100" /var/log/message_192.168.1.100
  

式ベースのフィルター †

• Rainer Script という独自スクリプトで記述する
• 複数の条件を組み合わせた、複雑なフィルタ設定が可能

• 最もシンプルな記述

  if expr then action
  

• e.g. ABC を含むログを /var/log/abc.log に出力する

  if ( $msg contains "ABC" ) then /var/log/nsd.log
  

  • この場合、正規表現 regex は使用できない

• e.g. ABC から始まるログを /var/log/abc.log に出力する

  if re_match($msg, "^ABC.*") then {
        action(type="omfile" file="/var/log/abc.log")
  }
  

• e.g. ntpd のログを /var/log/ntpd.log に出力する

  if $programname == "ntpd" then {
        action(type="omfile" file="/var/log/ntpd.log")
  }
  

テンプレート †

• ログの出力内容やファイル名のフォーマット

• テンプレートの定義

  $template name,"format"
  

• ログ出力内容への適用

  facility.priority    dir/filename;name
  

• ログ ファイル名への適用

  facility.priority    ?name
  

ex) ログにホスト名を付与する場合

$template    t_sample,"%timegenerated%,%hostname%,%msg%\n"
local7.*     /var/log/sample.log;t_sample

ex) ログ ファイルを日付で分ける場合

$template    t_daily,"/var/log/messages_%$year%%$month%%$day%"
*.*          ?t_daily

ex) ホスト名のファイルに保存する場合

$template    t_remote,"/var/log/remote/%fromhost%/remote.log"
:fromhost-ip, !isequal, "127.0.0.1" ?t_remote

Menu

+ Operating System
　- Linux
　- FreeBSD
　- Solaris
　- Windows
　- Macintosh
　- Virtualization
+ Middleware
　- High Availability
　- Web
　- Mail
　- Database
　- FileTransfer
　- Management
　- Other Software
　- Library
　- Tool
+ Application
+ Network
+ Storage
+ Cloud
+ Protocol
+ Program
+ Others

最新の10件

Advertisement

Counter

Today: 1
Yesterday: 1
Total: 11391

MenuEdit