Ici, c'est un abus de language : j'utilise rsyslog
====== Ouverture du Syslog aux remote ======
===== Preparer rsyslog a ecouter =====
* dans /etc/default/rsyslog, des fois il rajouter le flag -r, mais il faut bien penser au -x
===== Le faire vraiment ecouter =====
* rajouter un fichier pex /etc/rsyslog.d/60-supp.conf
# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
===== Limiter les remote, ou l'ecoute en remote =====
Attention, l'ordre des arguments a son importance.
cat <> /etc/rsyslog.d/60-supp.conf
# provides UDP syslog reception
$ModLoad imudp
$UDPServerAddress 127.0.0.1
$UDPServerRun 514
# provides TCP syslog reception
$ModLoad imtcp
$AllowedSender TCP, 127.0.0.1, 172.17.0.0/16
$InputTCPServerRun 514
EOF
===== Pour envoyer en syslog le contenu d'un log (qui ne viens par syslog) =====
$ModLoad imfile
$InputFilePollInterval 10
$InputFileName /var/log/apache2/access.log
$InputFileTag apache2_log:
$InputFileStateFile apache2_log
$InputFileSeverity notice
$InputFileFacility local1
$InputFilePollInterval 1
$InputFilePersistStateInterval 1
$InputRunFileMonitor
local1.notice @syslogserver
===== Le truc pour ne pas multiplier les mail.logs =====
Modifier la ligne dans /etc/rsyslogd.conf ainsi
*.*;auth,authpriv.none -/var/log/syslog
*.*;auth,authpriv.none,mail.none -/var/log/syslog
Le none ayant pour effet de supprimer le dit flux ;)
===== Le truc pour pousser les logs sur un remote =====
mail.* @syslogserver
===== Le truc pour envoyer a plusieurs hosts =====
cat /etc/rsyslog.d/double.conf
$ActionQueueType LinkedList
$ActionQueueFileName Forward1
$ActionResumeRetryCount -1
$ActionQueueSaveOnShutdown on
*.* @@syslogserver
$ActionQueueType LinkedList
$ActionQueueFileName Forward2
$ActionResumeRetryCount -1
$ActionQueueSaveOnShutdown on
*.* @ipr-mtamaster
===== Le truc pour que l'emission se fasse en tcp =====
Lorsque l'on precise le remote, on met 2 @ (1 seule == udp)