rsyslog&syslog

rsyslog&syslog
20120203

Cisco機器及び、Buffalo機器に対するrsyslog&syslog設定のメモ
→rsyslogについては、同一作業のファイルパス等は全て置き換えてください。
→例：「vi /etc/syslog.conf」を「vi /etc/rsyslog.conf」

機器のログをsyslogにより、単一ファイルでの管理を行う。

確認環境
　Server OS　:　CentOS6.x
　Server OS　:　CentOS5.x
　Cisco IOS　　:　IOS12.4(6)T
　Buffalo機器　:　WZR-AGL300NH
　syslogサーバのIPアドレスは192.168.0.3と仮定する。

～Cisco機器のログをsyslogで管理する～ ◇Cisco機での作業

◆syslog設定の有効化
　Cisco(config)# logging on
　Cisco(config)# logging 192.168.0.3

◇サーバ機での作業

◆リモートでの使用を可能にする。（syslogの場合）
　[root@Server ~]# vi /etc/sysconfig/syslog

　びふぉー
　SYSLOGD_OPTIONS="-m 0"

　あふたー
　SYSLOGD_OPTIONS="-r -m 0"

◆リモートでの使用を可能にする。（rsyslogの場合）
　[root@Server ~]# vi /etc/sysconfig/rsyslog

　びふぉー
　SYSLOGD_OPTIONS="-c 4"

　あふたー
　SYSLOGD_OPTIONS="-m 0 -r514"

◆使用しているfacilityとログの保存先を設定する為、以下を追記
　[root@Server ~]# vi /etc/syslog.conf

　# Cisco
　local7.* /var/log/cisco.log

◆多重ログ取得を防止する為、同設定ファイルの以下を変更(local7.noneの追記)
　[root@Server ~]# vi /etc/syslog.conf

　びふぉー
　*.info;mail.none;authpriv.none;cron.none;kern.none /var/log/messages

　あふたー
　*.info;mail.none;authpriv.none;cron.none;kern.none;local7.none /var/log/messages
　local7.noneを追記して、messagesにはログを保存しないよう設定。

◆ついでにログローテの設定
　[root@Server ~]# vi /etc/logrotate.d/cisco

　/var/log/cisco.log {
　 missingok
　 notifempty
　 sharedscripts
　}

◆最後にsyslogの再起動
　[root@Server ~]# /etc/rc.d/init.d/syslog restart

～他環境でlocal7を使用していて、ログ内容が被ってしまう場合の対処～ ◇Cisco機での作業

◆syslog設定の有効化
　Cisco(config)# logging on
　Cisco(config)# logging 192.168.0.3
　Cisco(config)# logging　facility　local6
　デフォルトがlocal7である事から、明示的に指定する。

◇サーバ機での作業

◆リモートでの使用を可能にする。
　[root@Server ~]# vi /etc/sysconfig/syslog

　びふぉー
　SYSLOGD_OPTIONS="-m 0"

　あふたー
　SYSLOGD_OPTIONS="-r -m 0"

◆リモートでの使用を可能にする。（rsyslogの場合）
　[root@Server ~]# vi /etc/sysconfig/rsyslog

　びふぉー
　SYSLOGD_OPTIONS="-c 4"

　あふたー
　SYSLOGD_OPTIONS="-m 0 -r514"

◆使用しているfacilityとログの保存先を設定する為、以下を追記
　[root@Server ~]# vi /etc/syslog.conf

　# Cisco
　local6.* /var/log/cisco.log

◆多重ログ取得を防止する為、同設定ファイルの以下を変更(local6.noneの追記)
　[root@Server ~]# vi /etc/syslog.conf

　びふぉー
　*.info;mail.none;authpriv.none;cron.none;kern.none /var/log/messages

　あふたー
　*.info;mail.none;authpriv.none;cron.none;kern.none;local6.none /var/log/messages
　local6.noneを追記して、messagesにはログを保存しないよう設定。

◆ついでにログローテの設定
　[root@Server ~]# vi /etc/logrotate.d/cisco

　/var/log/cisco.log {
　 missingok
　 notifempty
　 sharedscripts
　}

◆最後にsyslogの再起動
　[root@Server ~]# /etc/rc.d/init.d/syslog restart

～Buffalo機器の場合～　Buffalo製品はデフォルトfacilityが「local1」である。

◇機器上からsyslogのサーバアドレスを指定して機能ON

◇サーバ機での作業

◆リモートでの使用を可能にする。
　[root@Server ~]# vi /etc/sysconfig/syslog

　びふぉー
　SYSLOGD_OPTIONS="-m 0"

　あふたー
　SYSLOGD_OPTIONS="-r -m 0"

◆リモートでの使用を可能にする。（rsyslogの場合）
　[root@Server ~]# vi /etc/sysconfig/rsyslog

　びふぉー
　SYSLOGD_OPTIONS="-c 4"

　あふたー
　SYSLOGD_OPTIONS="-m 0 -r514"

◆使用しているfacilityとログの保存先を設定する為、以下を追記
　[root@Server ~]# vi /etc/syslog.conf

　# Cisco
　local1.* /var/log/buffalo.log

◆多重ログ取得を防止する為、同設定ファイルの以下を変更(local1.noneの追記)
　[root@Server ~]# vi /etc/syslog.conf

　びふぉー
　*.info;mail.none;authpriv.none;cron.none;kern.none /var/log/messages

　あふたー
　*.info;mail.none;authpriv.none;cron.none;kern.none;local1.none /var/log/messages
　local1.noneを追記して、messagesにはログを保存しないよう設定。

◆ログローテの設定
　[root@Server ~]# vi /etc/logrotate.d/buffalo

　/var/log/buffalo.log {
　 missingok
　 notifempty
　 sharedscripts
　}

◆最後にsyslogの再起動
　[root@Server ~]# /etc/rc.d/init.d/syslog restart