rsyslog&syslog
20150110

Cisco機器及び、Buffalo機器に対するrsyslog&syslog設定のメモ
→rsyslogについては、同一作業のファイルパス等は全て置き換えてください。
→例:「vi /etc/syslog.conf」を「vi /etc/rsyslog.conf」

機器のログをsyslogにより、単一ファイルでの管理を行う。
確認環境
 Server OS : CentOS6.x
 Server OS : CentOS7.x
 →syslogは未検証
 →yum -y install rsyslog でインストールが必要
 Server OS : CentOS5.x
 Cisco IOS  : IOS12.4(6)T 、ASAの9.1など
 Buffalo機器 : WZR-AGL300NH
 syslogサーバのIPアドレスは192.168.0.3と仮定する。
〜Cisco機器のログをsyslogで管理する〜
◇Cisco機での作業

◆syslog設定の有効化
 Cisco(config)# logging on
 Cisco(config)# logging 192.168.0.3

◇サーバ機での作業

◆リモートでの使用を可能にする。(syslogの場合)
 [root@Server ~]# vi /etc/sysconfig/syslog

 びふぉー
 SYSLOGD_OPTIONS="-m 0"

 あふたー
 SYSLOGD_OPTIONS="-r -m 0"

◆リモートでの使用を可能にする。(rsyslogの場合)
 [root@Server ~]# vi /etc/sysconfig/rsyslog

 びふぉー
 SYSLOGD_OPTIONS="-c 4"

 あふたー
 SYSLOGD_OPTIONS="-m 0 -r514"

◆使用しているfacilityとログの保存先を設定する為、以下を追記
 [root@Server ~]# vi /etc/syslog.conf

 # Cisco
 local7.* /var/log/cisco.log

◆多重ログ取得を防止する為、同設定ファイルの以下を変更(local7.noneの追記)
 [root@Server ~]# vi /etc/syslog.conf

 びふぉー
 *.info;mail.none;authpriv.none;cron.none;kern.none /var/log/messages

 あふたー
 *.info;mail.none;authpriv.none;cron.none;kern.none;local7.none /var/log/messages
 local7.noneを追記して、messagesにはログを保存しないよう設定。

◆ついでにログローテの設定
 [root@Server ~]# vi /etc/logrotate.d/cisco

 /var/log/cisco.log {
  missingok
  notifempty
  sharedscripts
 }

◆最後にsyslogの再起動
 [root@Server ~]# /etc/rc.d/init.d/syslog restart
〜他環境でlocal7を使用していて、ログ内容が被ってしまう場合の対処〜
◇Cisco機での作業

◆syslog設定の有効化
 Cisco(config)# logging on
 Cisco(config)# logging 192.168.0.3
 Cisco(config)# logging facility local6
 デフォルトがlocal7である事から、明示的に指定する。

◇サーバ機での作業

◆リモートでの使用を可能にする。
 [root@Server ~]# vi /etc/sysconfig/syslog

 びふぉー
 SYSLOGD_OPTIONS="-m 0"

 あふたー
 SYSLOGD_OPTIONS="-r -m 0"

◆リモートでの使用を可能にする。(rsyslogの場合)
 [root@Server ~]# vi /etc/sysconfig/rsyslog

 びふぉー
 SYSLOGD_OPTIONS="-c 4"

 あふたー
 SYSLOGD_OPTIONS="-m 0 -r514"

◆使用しているfacilityとログの保存先を設定する為、以下を追記
 [root@Server ~]# vi /etc/syslog.conf

 # Cisco
 local6.* /var/log/cisco.log

◆多重ログ取得を防止する為、同設定ファイルの以下を変更(local6.noneの追記)
 [root@Server ~]# vi /etc/syslog.conf

 びふぉー
 *.info;mail.none;authpriv.none;cron.none;kern.none /var/log/messages

 あふたー
 *.info;mail.none;authpriv.none;cron.none;kern.none;local6.none /var/log/messages
 local6.noneを追記して、messagesにはログを保存しないよう設定。

◆ついでにログローテの設定
 [root@Server ~]# vi /etc/logrotate.d/cisco

 /var/log/cisco.log {
  missingok
  notifempty
  sharedscripts
 }

◆最後にsyslogの再起動
 [root@Server ~]# /etc/rc.d/init.d/syslog restart
〜Cisco機器が増えてきた等、機器毎にログを分けたい場合〜
 [root@Server ~]# vi /etc/sysconfig/rsyslog
# ルーター
:fromhost-ip, isequal, "192.168.0.1" /var/log/router.log
& ~

# AP
:fromhost-ip, isequal, "192.168.0.254" /var/log/AP.log
& ~

# 実家のFW
:fromhost-ip, isequal, "192.168.100.1" /var/log/home.log
& ~

local7.* /var/log/cisco.log
& ~

→送信元のIPアドレスで分別
〜Buffalo機器の場合〜
 Buffalo製品はデフォルトfacilityが「local1」である。

◇機器上からsyslogのサーバアドレスを指定して機能ON

◇サーバ機での作業

◆リモートでの使用を可能にする。
 [root@Server ~]# vi /etc/sysconfig/syslog

 びふぉー
 SYSLOGD_OPTIONS="-m 0"

 あふたー
 SYSLOGD_OPTIONS="-r -m 0"

◆リモートでの使用を可能にする。(rsyslogの場合)
 [root@Server ~]# vi /etc/sysconfig/rsyslog

 びふぉー
 SYSLOGD_OPTIONS="-c 4"

 あふたー
 SYSLOGD_OPTIONS="-m 0 -r514"

◆使用しているfacilityとログの保存先を設定する為、以下を追記
 [root@Server ~]# vi /etc/syslog.conf

 # Cisco
 local1.* /var/log/buffalo.log

◆多重ログ取得を防止する為、同設定ファイルの以下を変更(local1.noneの追記)
 [root@Server ~]# vi /etc/syslog.conf

 びふぉー
 *.info;mail.none;authpriv.none;cron.none;kern.none /var/log/messages

 あふたー
 *.info;mail.none;authpriv.none;cron.none;kern.none;local1.none /var/log/messages
 local1.noneを追記して、messagesにはログを保存しないよう設定。

◆ログローテの設定
 [root@Server ~]# vi /etc/logrotate.d/buffalo

 /var/log/buffalo.log {
  missingok
  notifempty
  sharedscripts
 }

◆最後にsyslogの再起動
 [root@Server ~]# /etc/rc.d/init.d/syslog restart