rsyslog für Router, WLAN APs etc (Spickzettel)

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
BenutzerGa4gooPh

rsyslog für Router, WLAN APs etc (Spickzettel)

Beitrag von BenutzerGa4gooPh » 02.03.2017 11:15:15

Logging für einen Syslog Client auf einem Debian-Rechner (Syslog Server)

Debianrsyslog ist auf Jessie (Debian 8.x) vorinstalliert.
Auf dem Client (Router, AP etc) Remote Logging und IP des Logging-Servers mit fixer IP oder DHCP-Reservation aktivieren - so der Client das kann. :wink:
Bei Verwendung einer Firewall Port 514 UDP - bei Bedarf auch TCP 514 freigeben!

Grundlage für Spickzettel: Auszüge aus http://www.laub-home.de/wiki/Syslog_Ser ... it_Rsyslog
(Danke an Andreas Laub.)

neue Datei:

Code: Alles auswählen

nano /etc/rsyslog.d/syslogserver.conf
Inhalt:

Code: Alles auswählen

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

# Logfile for each host
$template DynaFile,"/var/log/syslog-%HOSTNAME%.log"
*.* -?DynaFile
Hierbei wird für jeden Host ein Logfile unter /var/log/ erzeugt: syslog-%HOSTNAME%.log
(Weiterhin werden die Einträge auch nach /var/log/syslog geschrieben.)

Die neu angelegten Logfiles sollten von Logrotate rotiert werden, damit das System nicht "volläuft". Hierzu erstellt man die folgende Datei:

Code: Alles auswählen

nano /etc/logrotate.d/rsyslog-newlogs
Inhalt:

Code: Alles auswählen

/var/log/syslog-*.log
{
        rotate 7
        daily
        missingok
        notifempty
        delaycompress
        compress
        postrotate
                invoke-rc.d rsyslog reload > /dev/null
        endscript
}

/var/log/noflushd
{
        rotate 4
        weekly
        missingok
        notifempty
        compress
        delaycompress
        sharedscripts
        postrotate
                invoke-rc.d rsyslog reload > /dev/null
        endscript
}
Habe zur "Sicherheit"

Code: Alles auswählen

service rsyslog restart
und Neustart durchgeführt.

Dann schaut man Logfiles auf dem Syslogserver (Debian-Rechner) an - nachdem man den Syslog-Client (Router, AP) zum Logging stimuliert hat (Managementzugriff mit falschem und richtigem Passwort etc.):

Code: Alles auswählen

tail -f /var/log/syslog
tail -f /var/log/syslog-<hostname>.log
Die interne Namensauflösung im Netzwerk muss natürlich funktionieren. Logeintraege werden nicht wiederholt/nachgeliefert, UDP ist verbindungslos.

Anmerkungen und Verbesserungsvorschläge willkommen! Bei mir funktioniert es jedenfalls, will anderen helfen.

Antworten