Ceci est une ancienne révision du document !


Ici, c'est un abus de language : j'utilise rsyslog

Ouverture du Syslog aux remote

Preparer rsyslog a ecouter

  • dans /etc/default/rsyslog, des fois il rajouter le flag -r, mais il faut bien penser au -x

Le faire vraiment ecouter

  • rajouter un fichier pex /etc/rsyslog.d/60-supp.conf

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

Le truc pour les canaliser/filtrer

Pour envoyer en syslog le contenu d'un log (qui ne viens par syslog)

$ModLoad imfile
$InputFilePollInterval 10

$InputFileName /var/log/apache2/access.log
$InputFileTag apache2_log:
$InputFileStateFile apache2_log
$InputFileSeverity notice
$InputFileFacility local1
$InputFilePollInterval 1
$InputFilePersistStateInterval 1
$InputRunFileMonitor

local1.notice                   @syslogserver

Le truc pour ne pas multiplier les mail.logs

Modifier la ligne dans /etc/rsyslogd.conf ainsi
*.*;auth,authpriv.none      -/var/log/syslog
*.*;auth,authpriv.none,mail.none                -/var/log/syslog
Le none ayant pour effet de supprimer le dit flux ;)

Le truc pour pousser les logs sur un remote

mail.*                          @syslogserver

Le truc pour envoyer a plusieurs hosts

cat /etc/rsyslog.d/rbs-pmx.conf

$ActionQueueType LinkedList
$ActionQueueFileName Forward1
$ActionResumeRetryCount -1
$ActionQueueSaveOnShutdown on
*.* @@syslogserver

$ActionQueueType LinkedList
$ActionQueueFileName Forward2
$ActionResumeRetryCount -1
$ActionQueueSaveOnShutdown on
*.* @ipr-mtamaster

Le truc pour que l'emission se fasse en tcp

Lorsque l'on precise le remote, on met 2 @ (1 seule == udp)

docs/linuxeries/syslog.1629727075.txt.gz · Dernière modification: 2021/08/23 15:57 (édition externe)
Recent changes RSS feed Debian Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki