Loading

syslog — стандарт отправки сообщений о происходящих в системе событиях (логов), использующийся в компьютерных сетях, работающих по протоколу IP.

Протокол syslog прост: отправитель посылает короткое текстовое сообщение, размером меньше 1024 байт получателю сообщения. Получатель при этом носит имя «syslogd», «syslog daemon», либо же, «syslog server». Сообщения могут отправляться как по UDP, так и по TCP. Как правило, такое сообщение отсылается в открытом виде. Тем не менее, используя специальные средства (такие, как Stunnel, sslio или sslwrap), возможно шифрование сообщений и отправка их по SSL/TLS.

Syslog используется для удобства администрирования и обеспечения информационной безопасности. Он реализован под множество платформ и используется в множестве устройств. Поэтому, использование syslog позволяет обеспечить сбор информации с разных мест и хранение её в едином репозитории.

Например, rsyslog поддерживает семь файлов.
Local id — это номер источника сообщения, передаваемый в заголовке сообщения. Также эта функция дает возможность регистрировать сообщения в различных файлах на сервере Syslog.

Для начала настройки rsyslog, который является syslog-демоном в OpenSUSE по умолчанию, необходимо открыть конфигурационный файл /etc/rsyslog.conf и в конце файла закоментировать строку


local2,local3.*                         -/var/log/localmessages

так как в данном примере будет использоваться номер источника local id 2 — ADSL-модем D-Link, и дописать в конец файла следующую строку(с учетом предыдущего пункта):

#
# Some foreign boot scripts require local7
#local2,local3.*                                -/var/log/localmessages
local2.*                                -/var/log/device.log
###

Стоит отметить, что файл /var/log/device.log будет создан автоматически после перезапуска syslog-демона.

Теперь необходимо указать системе, что у нас основным используется демон rsyslog — вносим изменения в /etc/sysconfig/syslog:


SYSLOG_DAEMON="rsyslogd"

Перейдем к настройке серверной части. Разрешим серверу syslog слушать на порту 514/UDP(следует не забыть открыть этот порт и тип протокола в firewall) — внесен некоторые изменения в конфигурационный файл /etc/rsyslog.d/remote.conf:


# UDP Syslog Server:
$ModLoad imudp.so  # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514

Теперь осталось перезапустить серверный процесс


# /etc/init.d/syslog restart
Shutting down syslog services                                        done
Starting syslog services                                             done

и настроить соотвествующим образом клиента на отправку лога, о чем будет повествоваться в последующих статьях этого блога.