CentOS8 syslog を他の機器から受け付ける設定

CentOS8 にて syslog を他の機器から受ける設定の紹介です。

rsyslogの設定変更

ログを /var/log/ryslog/ホスト名/yyyymmdd_syslog.log に出力されるように設定します。

[root@centos8 etc]# vi /etc/rsyslog.conf

#19-20 行目コメント削除

# Provides UDP syslog reception
# for parameters see http://www.rsyslog.com/doc/imudp.html
module(load="imudp") # needs to be done just once
input(type="imudp" port="514")

#24-25 行目コメント削除

# Provides TCP syslog reception
# for parameters see http://www.rsyslog.com/doc/imtcp.html
module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514")

#最終行に追記
$template SyslogMessage,"/var/log/rsyslog/%fromhost%/%$year%%$month%%$day%_syslog.log"
*.*     -?SyslogMessage
[root@centos8 etc]#

[root@centos8 etc]# vi /etc/rsyslog.conf

#19-20 行目コメント削除

# Provides UDP syslog reception

# for parameters see http://www.rsyslog.com/doc/imudp.html

module(load="imudp") # needs to be done just once

input(type="imudp" port="514")

#24-25 行目コメント削除

# Provides TCP syslog reception

# for parameters see http://www.rsyslog.com/doc/imtcp.html

module(load="imtcp") # needs to be done just once

input(type="imtcp" port="514")

#最終行に追記

$template SyslogMessage,"/var/log/rsyslog/%fromhost%/%$year%%$month%%$day%_syslog.log"

*.* -?SyslogMessage

[root@centos8 etc]#

rsyslog を再起動して設定を反映する。

systemctl restart rsyslog

1	systemctl restart rsyslog

firewalld を解除する

TCP/UDP 514 を解除する

[root@centos8 etc]# firewall-cmd --add-port=514/tcp --permanent
success
[root@centos8 etc]# firewall-cmd --add-port=514/udp --permanent
success
[root@centos8 etc]# firewall-cmd --reload
success
[root@centos8 etc]#

[root@centos8 etc]# firewall-cmd --add-port=514/tcp --permanent

success

[root@centos8 etc]# firewall-cmd --add-port=514/udp --permanent

success

[root@centos8 etc]# firewall-cmd --reload

success

[root@centos8 etc]#

SELinuxの無効

SELinux は disable の状態で設定しています。SELinux の設定方法は下記を参照

: CentOS8 SELinux 状態確認設定の変更

syslogファイルの参照

下記は Ciscoルータから syslog を受信したログです。

[root@centos8 etc]# tail /var/log/rsyslog/172.16.1.100/20200307_messages.log
Mar  7 16:54:49 172.16.1.100 31: *Mar  7 07:54:39.156: %SYS-5-CONFIG_I: Configured from console by console
Mar  7 17:02:59 172.16.1.100 32: *Mar  7 08:02:48.244: %SYS-5-CONFIG_I: Configured from console by console
Mar  7 17:03:23 172.16.1.100 33: *Mar  7 08:03:12.014: %SYS-5-CONFIG_I: Configured from console by console
[root@centos8 etc]#

[root@centos8 etc]# tail /var/log/rsyslog/172.16.1.100/20200307_messages.log

Mar 7 16:54:49 172.16.1.100 31: *Mar 7 07:54:39.156: %SYS-5-CONFIG_I: Configured from console by console

Mar 7 17:02:59 172.16.1.100 32: *Mar 7 08:02:48.244: %SYS-5-CONFIG_I: Configured from console by console

Mar 7 17:03:23 172.16.1.100 33: *Mar 7 08:03:12.014: %SYS-5-CONFIG_I: Configured from console by console

[root@centos8 etc]#

CentOS8 その他設定方法は下記ページからどうぞ

: CentOS8 設定方法

CentOS8 syslog を他の機器から受け付ける設定

rsyslogの設定変更

firewalld を解除する

SELinuxの無効

CentOS8 SELinux 状態確認 設定の変更

syslogファイルの参照

CentOS8 設定方法

CentOS8 SELinux 状態確認設定の変更