ログ管理にrsyslogをお勧めします

皆さん、こんにちは！

様々なログを取得し、日々、格闘しているITエンジニアの皆さん、今年も年度末が近づいてきましたね。2024年度のログをアーカイブし、2025年度に向けて、準備していることと思います。オンプレサーバで、ログを取得するケースもまだあると思いますが、多数のOSでサポートされている。”rsyslog”は、使いやすくで簡単です。

古くから、ログと言えば、syslogでしたが、今でも、syslogサーバどこ？

アドレスとポート番号は？という会話を聞く機会も多いのではないでしょうか。

無線AP、SW等は、日々、大量にログを出力しますので、それらをチェックするのは、

スクリプトや専用アプリによる自動化が欠かせませんが、rsyslogサーバの立て方を

ご紹介します。

rsyslogサイト

https://www.rsyslog.com/

Red Hat Enterprise Linux (RHEL) での例を紹介します。

RHELの場合は、OS標準で、rsyslogがインストールされていますので、有効化するだけで

直ぐに使い始めることが出来ます。

rsyslog の有効化

RHELのインストールが完了したら、rsyslog サービスを有効化し、起動します。

sudo yum install rsyslog

sudo systemctl enable rsyslog

sudo systemctl start rsyslog

rsyslog サービスが正常に動作しているか確認します。

sudo systemctl status rsyslog

必要に応じて、/etc/rsyslog.conf ファイルを編集して設定を行います。例えば、特定のログをリモートサーバに転送する場合は、以下のように設定します。

. @remote-server-ip:514

設定を変更した後は、rsyslog サービスを再起動します

sudo systemctl restart rsyslog

—

firewalld がインストールされていない場合は、インストールして起動しましょう。

sudo yum install firewalld

sudo systemctl enable firewalld

sudo systemctl start firewalld

514 ポートを開放します。以下のコマンドを実行してください。

sudo firewall-cmd --zone=public --add-port=514/tcp --permanent

sudo firewall-cmd --zone=public --add-port=514/udp --permanent

設定を反映させるために、firewalld をリロードします。

sudo firewall-cmd --reload

514 ポートが開放されていることを確認します。

sudo firewall-cmd --zone=public --list-ports

無線AP、SW等に、上記で設定した、”rsyslog” サーバのIPアドレス（あればFQDN）

を指定してください。

たくさん、ログが流れ込んで来ますので、"grep" コマンド等を利用して、ログの

確認方法をカスタマイズしてください。