サーバ管理なんて10年ぶりなので浦島であるが、ログだけはちゃんとしておかないとエライことになるので、とりあえずrsyslogは設定した。
10.0.0.aaにrsyslog受信サーバ
rsyslog.conf設定
rsyslogはtcpが使えるようになっていた(いつの話だ浦島)。なのでtcpで通信する。
#provides TCP syslog reception
module(load=”imtcp”)
input(type=”imtcp” port=”514″)
rsyslog.d/50-default.conf
$AllowdSender TCP,127.0.0.1,10.0.0.0/24
$template remoteTCP,”/var/spool/rsyslog/%fromhost-ip%/%programname%.log”
*.* -?remoteTCP
これで、/var/spool/rsyslog以下に送信元のホストIPディレクトリ自動的にできてログが蓄積される。
なおmkdir /var/spool/rsyslog;chown syslog:syslog /var/spool/rsyslogしておくこと
送信元ホストの設定
rsyslog.d/50-default.conf
auth,authpriv.* @@10.0.0.aa:514
などと書き換える。@マーク2つつけるとTCP接続。デフォルトなら514なのでそこは省略可能
設定に間違いがなければ
ls -dl /var/spool/rsyslog/*
drwxr-xr-x 2 syslog syslog 4096 2月 13 08:53 10.0.0.zz
**snip*
drwxr-xr-x 2 syslog syslog 4096 2月 13 10:07 127.0.0.1
などとなっているはず
logrotateの設定
一応簡単に
/etc/logrotate.d/rsyslog
/var/spool/rsyslog/*/*.log{
rotate 30
weekly
missingok
notifempty
delaycompress
compress
postrotate
/usr/lib/rsyslog/rsyslog-rotate
endscript
}