Product SiteDocumentation Site

54.9. Отправка логов аудита в rsyslog

54.9.1. Настройка rsyslog

На стороне приёмника сообщений (сервера):
  1. Установить пакет rsyslog-classic: 
    # apt-get install rsyslog-classic
  2. В файле /etc/rsyslog.d/00_common.conf раскомментировать строки: 
    # Для UDP
module(load="imudp")
input(type="imudp" port="514")
# Для TCP
module(load="imtcp")
input(type="imtcp" port="514")
  3. Создать шаблон для логов /etc/rsyslog.d/myrules.conf: 
    $template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* action(type="omfile" dynaFile="remote-incoming-logs" dirCreateMode="0755" fileCreateMode="0644")

    Примечание

    Согласно данному шаблону все сообщения от любых источников (facility) с любым уровнем важности (priority) будут сохраняться на сервере в файлы /var/log/<имя_узла-отправителя_лога>/<приложение-отправитель_лога>.log.
  4. Перезапустить службу rsyslog: 
    # systemctl restart rsyslog
На стороне отправителя сообщений (клиента):
  1. Установить пакет rsyslog-classic: 
    # apt-get install rsyslog-classic
  2. Создать файл /etc/rsyslog.d/all.conf, в котором прописать протокол (@@ — TCP, @ — UDP) и адрес доставки сообщений: 
    *.* @@192.168.0.111:514 # Отправка логов на сервер (TCP)
  3. Перезапустить службу rsyslog: 
    # systemctl restart rsyslog
При корректной настройке на сервере в каталоге /var/log/ должен появиться каталог с именем узла, который отправляет лог-файлы: 
# ls -l /var/log/node02/
итого 12
-rw------- 1 root adm  810 апр  3 12:30 crond.log
-rw------- 1 root adm 1194 апр  3 12:19 login.log
-rw------- 1 root adm 2509 апр  3 12:19 rsyslogd.log