Ubuntu

rsyslog

1. 개요

원격으로 log 전송 / rsyslog

 

2. LOG LEVEL

Facility : 프로그램 타입

Facility Number Keyword C code Facility Description
0 kern LOG_KERN kernel messages
1 user LOG_USER user-level messages
2 mail LOG_MAIL mail system
3 daemon LOG_DAEMON system daemons
4 auth LOG_AUTH security/authorization messages
5 syslog LOG_SYSLOG messages generated internally by syslogd
6 lpr LOG_LPR line printer subsystem
7 news LOG_NEWS network news subsystem
8 uucp LOG_UUCP UUCP subsystem
9 clock LOG_CRON clock daemon
10 authpriv LOG_AUTHPRIV security/authorization messages
11 ftp . FTP daemon
12 . . NTP subsystem
13 . . log audit
14 . . log alert
15 cron . clock daemon
16 local0 LOG_LOCAL0 local use 0 (local0)
17 local1 LOG_LOCAL1 local use 1 (local1)
18 local2 LOG_LOCAL2 local use 2 (local2)
19 local3 LOG_LOCAL3 local use 3 (local3)
20 local4 LOG_LOCAL4 local use 4 (local4)
21 local5 LOG_LOCAL5 local use 5 (local5)
22 local6 LOG_LOCAL6 local use 6 (local6)
23 local7 LOG_LOCAL7 local use 7 (local7)

 

security : 중요도

Code Severity Keyword C code Description
0 Emergency emerg (panic) LOG_EMERG System is unusable.
1 Alert alert LOG_ALERT Action must be taken immediately.
2 Critical crit LOG_CRIT Critical conditions.
3 Error err (error) LOG_ERR Error conditions.
4 Warning warning (warn) LOG_WARNING Warning conditions.
5 Notice notice LOG_NOTICE Normal but significant condition.
6 Informational info LOG_INFO Informational messages.
7 Debug debug LOG_DEBUG Debug-level messages.

 

3. log 보내는 서버 설정

sudo vi /etc/rsyslog.d/50-default.conf

local0.* @@[IP or Domain]    ; TCP 전송 / local0 facility에 대한 모든 security
local0.* @[IP or Domain]     ; UDP 전송 / local0 facility에 대한 모든 security

sudo service rsyslog restart

 

4. log 받는 서버 설정

sudo vi /etc/rsyslog.conf

# provides UDP syslog reception    ; UDP 전송시 아래 2줄 주석 해제
#$ModLoad imudp
#$UDPServerRun 514

# provides TCP syslog reception    ; TCP 전송시 아래 2줄 주석 해제
$ModLoad imtcp
$InputTCPServerRun 514

 

*.*;auth,authpriv.none,local0.none      -/var/log/syslog    ; 모든 키워드에 대한 모든 security log를 저장하지만 ; 이후 키워드인 auth, authpriv, local0는 제외(none)하여 저장 / 로그를 파일에 바로 쓰지 않고 메모리에 가지고 있다가, 디스크에 IO 여유가 있을 경우 쓰기

 

local0.*    /var/log/test.log            ; local0 키워드에 대한 모든 security(*) log는 /var/log/test.log에 저장

sudo service rsyslog restart

 

5. log 보내는 서버에서 log 보내기

logger -p local0.info [내용]

 

6. log 받는 서버에서 log 확인하기

tail -f /var/log/test.log

 

Back To Top