RSYSLOG

rsyslog ist eine Erweiterung zum alten syslogdienst, mit dem Logmeldungen an einen zentralen Server weitergeleitet werden können.
Auf den Debian-systemen ab squeeze ist der Dienst bei Neuinstallation schon installiert und aktiviert.
Auf upgedateten älteren Systemen wie z.B.LENNY muss der Dienst erst noch nachinstalliert werden.

Installation des RSYSLOG-Servers

Installation des Dienstes:

apt-get install rsyslog

Die Konfiguration soll so erfolgen, dass der Dienst Systemlogs von anderen Clients annimmt.: editiere die Datei /etc/rsyslog.conf wie folgt:

...
#server soll auf UDP-Port 514 horchen
$Modload imudp
$UDPServerRun 514
#server soll auch auf TCP-Port 514 horchen
$Modload imtcp
$InputTCPServerRun 514
...

anschließend muss der Dienst neu gestartet werden:

/etc/init.d/rsyslogd restart

der Server horcht jetzt über TCP und UDP auf eingehene Syslogmeldungen.
Mit dem Tool Loganalyzer kann das ganze dann noch aufgehübscht werden.
fertig.


Installation des RSYSLOG-Clients

Installation wiedes des Dienstes:

apt-get install rsyslog

Die Konfiguration soll so erfolgen, dass der Dienst alle Syslogs an einen anderen Servern sendet.: editiere die Datei /etc/rsyslog.conf wie folgt:

...
# für UDP
*.* @meinRSYSLOGserver
# oder für TCP
*.* @@meinRSYSLOGserver
...

anschließend muss der Dienst neu gestartet werden:

/etc/init.d/rsyslogd restart

der Client sendet jetzt über TCP oder UDP seine Syslogmeldungen an den Server: meinRSYSLOGserver (IP geht auch).
fertig.


weitere Konfigurationsmöglichkeiten

sende auf meinem Client alle Systemmeldungen an die virtuelle Konsole 10 (tty10)

erstelle folgenden Eintrag in der Datei /etc/inittab:

...
10:23:respawn:/sbin/getty 38400 tty10
...

erstelle folgenden Eintrag in der Datei /etc/rsyslog.conf:

...
*.* /dev/tty10
...

anschließend muss der Dienst neu gestartet werden:

/etc/init.d/rsyslogd restart

Drücke <ALT>+<F10>. Dort müssten die Sylog-Meldungen jetzt zu sehen sein.

sende die Syslogs maximal komprimiert an den Syslog-Server

editiere die Datei /etc/rsyslog.conf wie folgt:

...
*.* @@(o,z9)meinRSYSLOGserver
...

anschließend muss der Dienst neu gestartet werden:

/etc/init.d/rsyslogd restart
sende nur die Syslogs ab "warn" an den Syslog-Server

editiere die Datei /etc/rsyslog.conf wie folgt:

...
*.warn @@meinRSYSLOGserver
...

anschließend muss der Dienst neu gestartet werden:

/etc/init.d/rsyslogd restart

teste anschließend ob die Mails auch auf dem Syslog-Server ankommen:

logger -p debug testdebug
logger -p info testinfo
logger -p warn testwarn
logger -p crit testcrit
logger -p emerg testemerg

die debug- und info-Meldungen sollten nicht auf dem Server ankommen.

—-

 
 
/www/htdocs/w00d1d2b/wiki/JS_data/pages/linux/rsyslog.txt · Zuletzt geändert: 2013/04/17 12:48 (Externe Bearbeitung)