프로필사진 글목록 방명록 이웃추가
Today:     Yesterday:     Total:

JunToday.com

rsyslog로 로그수집서버 설정하기 본문

생활속의 IT 노하우/리눅스

rsyslog로 로그수집서버 설정하기

JunToday 2018. 10. 30. 11:29
728x90

로그수집서버로 사용할 서버와 수집대상 서버 모두 rsyslog를 설치하자.

# yum install rsyslog

로그수집서버의 conf파일에 아래와 같이 수정하자.

# vi /etc/rsyslog.conf

# Provides UDP syslog reception
$ModLoad imudp  <<주석해제
$UDPServerRun 514  <<주석해제
$template TmplMsg,"/var/log/rsyslog/%fromhost-ip%_messages_%$YEAR%-%$MONTH%-%$DAY%.log"  <<내용추가
$template TmplAuth,"/var/log/rsyslog/%fromhost-ip%_secure_%$YEAR%-%$MONTH%-%$DAY%.log"  <<내용추가

authpriv.* ?TmplAuth  <<내용추가
*.info;mail.none;authpriv.none;cron.none ?TmplMsg  <<내용추가

수정 후 rsyslog 서비스 재시작.

수집대상 서버의 conf파일은 아래와 같이 수정한다.

# vi /etc/rsyslog.conf

#$ActionResumeRetryCount -1    # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
*.*@로그수집서버IP:514  <<내용추가
# ### end of the forwarding rule ###

수정 후 rsyslog 서비스 재시작

위와 같이 수정하면 /var/log/rsyslog경로에 ip와 날짜별로 로그가 쌓인다.

 

rsyslog-5.8.10.el6.x86_64 버전에서 아래와 같은 에러가 나면서 로그서버로 로그를 보내지 못하는 경우가 있었다.

rsyslogd-3000: unknown priority name "*@로그수집서버IP:514" [try http://www.rsyslog.com/e/3000 ]
rsyslogd: the last error occured in /etc/rsyslog.conf, line 79:"*.*@로그수집서버IP:514"
db02 rsyslogd: warning: selector line without actions will be discarded
db02 rsyslogd-2124: CONFIG ERROR: could not interpret master config file '/etc/rsyslog.conf'. [try http://www.rsyslog.com/e/2124 ]

이 로그는 rsyslog.conf에서 로그 유형을 제대로 설정하지 못해서 생긴 에러 로그이다.

이럴 때는 *.*@로그수집서버IP:514 이렇게 설정했던 부분을 세부적으로 수정하면 된다.

*.info;mail.none;authpriv.none;cron.none     @로그수집서버IP:514
authpriv.*                                            @로그수집서버IP:514

 

728x90
Comments