Differences between revisions 1 and 2
Revision 1 as of 2008-01-27 12:29:53
Size: 2087
Editor: Kurgan
Comment:
Revision 2 as of 2009-04-12 17:33:25
Size: 2087
Editor: localhost
Comment: converted to 1.6 markup
No differences found!

Configurazione di syslog-ng per fare logging da macchine remote

Questa e` una configurazione assolutamente minimale di syslog-ng per mettere in piedi rapidamente un log server centralizzato che raccolga i log di macchine remote dividendoli per macchina. I log vengono scritti in /var/log/remote e hanno come nome l'indirizzp IP della macchina remote. Questa configurazione si basa su UDP e quindi non garantisce il delivery dei log dalle macchine remote al server centrale ne` garantisce la sicurezza o la segretezza dei messaggi in transito. Va bene in rete locale, va bene come hack rapido se serve qualcosa che funzioni immediatamente, ed e` compatibile con qualsiasi sorgente di log che usi il protocollo standard sulla porte 514 udp.

  • Installare syslog-ng al posto dello standard sysklogd (e` necessario solo sul log server)
  • modificare la configurazione di syslog-ng inserendo le seguenti configurazioni:
    • # sorgente per i log remoti (i log remoti entrano con la source che ha questo nome)
      source s_remote {
              udp ();
      };
      
      # desitnazione per le macchine remote, un file per host.
      # i log delle macchine remote finiscono qui
      destination df_remote { file("/var/log/remote/$HOST"); };
      
      # La sorgente e la destinazione sopra definite vengono "connesse" assieme
      # da questa configurazione. "flags(final)" significa "non proseguire oltre ad analizzare altre regole"
      # i log delle macchine remote vanno in /var/log/remote/$HOST.log
      log {
              source(s_remote);
              destination(df_remote);
              flags(final);
      };
  • Creare la directory /var/log/remote
  • Eventualmente modificare la configurazione in logrotate in modo da ciclare come meglio si vuole i log delle macchine remote in /var/log/remote. Editare il file /etc/logrotate.d/syslog-ng ed aggiungere PRIMA DELL'ULTIMA VOCE (perche` l'ultima voce fa riavviare syslog-ng, e il riavvio deve avvenire come ultimo passaggio) una configurazione tipo questa:

    • /var/log/remote/*.log {
         rotate 30
         daily
         compress
         missingok
         notifempty
      }

LinuxDebian/SyslogNg (last edited 2009-04-12 17:33:25 by localhost)