Edito
Voila voila, je refais mon infra…
Et j'ai donc envie de participer a une oeuvre commune :
Antoine.
Pub
Désolé de vous incommoder avec cela, c'est un mal aujourd'hui nécessaire. Je le souhaite juste utile, on verra.
Différences
Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
|
docs:linuxeries:syslog [2021/08/20 15:50] adlp créée |
docs:linuxeries:syslog [2021/08/23 23:28] (version actuelle) |
||
|---|---|---|---|
| Ligne 4: | Ligne 4: | ||
| ====== Ouverture du Syslog aux remote ====== | ====== Ouverture du Syslog aux remote ====== | ||
| - | /etc/default/rsyslog | + | ===== Preparer rsyslog a ecouter ===== |
| - | Le truc pour ouvrir les effluves UDP et TCP | + | |
| - | Le truc pour les canaliser | + | |
| - | Le truc pour un host un fichier | + | * dans /etc/default/rsyslog, des fois il rajouter le flag -r, mais il faut bien penser au -x |
| + | ===== Le faire vraiment ecouter ===== | ||
| - | Le truc pour ne pas multiplier les mail.logs | + | * rajouter un fichier pex /etc/rsyslog.d/60-supp.conf |
| + | <xtermrtf> | ||
| + | # provides UDP syslog reception | ||
| + | $ModLoad imudp | ||
| + | $UDPServerRun 514 | ||
| - | Le truc pour lire les fichiers qui ne passent pas syslog | + | # provides TCP syslog reception |
| + | $ModLoad imtcp | ||
| + | $InputTCPServerRun 514 | ||
| + | </xtermrtf> | ||
| + | |||
| + | ===== Limiter les remote, ou l'ecoute en remote ===== | ||
| + | Attention, l'ordre des arguments a son importance. | ||
| + | <xtermrtf> | ||
| + | cat <<EOF >> /etc/rsyslog.d/60-supp.conf | ||
| + | # provides UDP syslog reception | ||
| + | $ModLoad imudp | ||
| + | $UDPServerAddress 127.0.0.1 | ||
| + | $UDPServerRun 514 | ||
| + | |||
| + | # provides TCP syslog reception | ||
| + | $ModLoad imtcp | ||
| + | $AllowedSender TCP, 127.0.0.1, 172.17.0.0/16 | ||
| + | $InputTCPServerRun 514 | ||
| + | EOF | ||
| + | </xtermrtf> | ||
| + | |||
| + | ===== Pour envoyer en syslog le contenu d'un log (qui ne viens par syslog) ===== | ||
| + | |||
| + | <xtermrtf> | ||
| + | $ModLoad imfile | ||
| + | $InputFilePollInterval 10 | ||
| + | |||
| + | $InputFileName /var/log/apache2/access.log | ||
| + | $InputFileTag apache2_log: | ||
| + | $InputFileStateFile apache2_log | ||
| + | $InputFileSeverity notice | ||
| + | $InputFileFacility local1 | ||
| + | $InputFilePollInterval 1 | ||
| + | $InputFilePersistStateInterval 1 | ||
| + | $InputRunFileMonitor | ||
| + | |||
| + | local1.notice @syslogserver | ||
| + | |||
| + | </xtermrtf> | ||
| + | |||
| + | ===== Le truc pour ne pas multiplier les mail.logs ===== | ||
| + | |||
| + | <xtermrtf> | ||
| + | Modifier la ligne dans /etc/rsyslogd.conf ainsi | ||
| + | *.*;auth,authpriv.none -/var/log/syslog | ||
| + | *.*;auth,authpriv.none,mail.none -/var/log/syslog | ||
| + | </xtermrtf> | ||
| + | Le none ayant pour effet de supprimer le dit flux ;) | ||
| + | |||
| + | |||
| + | ===== Le truc pour pousser les logs sur un remote ===== | ||
| + | <xtermrtf> | ||
| + | mail.* @syslogserver | ||
| + | </xtermrtf> | ||
| + | ===== Le truc pour envoyer a plusieurs hosts ===== | ||
| + | |||
| + | cat /etc/rsyslog.d/double.conf | ||
| + | <xtermrtf> | ||
| + | $ActionQueueType LinkedList | ||
| + | $ActionQueueFileName Forward1 | ||
| + | $ActionResumeRetryCount -1 | ||
| + | $ActionQueueSaveOnShutdown on | ||
| + | *.* @@syslogserver | ||
| + | |||
| + | $ActionQueueType LinkedList | ||
| + | $ActionQueueFileName Forward2 | ||
| + | $ActionResumeRetryCount -1 | ||
| + | $ActionQueueSaveOnShutdown on | ||
| + | *.* @ipr-mtamaster | ||
| + | </xtermrtf> | ||
| + | |||
| + | ===== Le truc pour que l'emission se fasse en tcp ===== | ||
| + | |||
| + | Lorsque l'on precise le remote, on met 2 @ (1 seule == udp) | ||
