Unique Life

제공: 한빛 네트워크
저자: Rich Bowen, 이대엽 역
원문: Sending Apache httpd Logs to Syslog

여러분의 아파치 서버가 매번 요청을 받을 때 마다 아파치 서버는 하나 혹은 여러 개의 로그파일에 로그내용을 만든다. 이러한 로그파일들은 방문자에 대한 통계적 분석에서부터 서버 공격에 대한 포렌식 분석에 이르기까지 다양한 목적에 있어 유용하게 이용된다.

수많은 경우에 있어 이러한 로그들을 로컬 파일시스템에 기록하게 하는 것은 아무리 줄잡아 말해도 불편한 일이다. 두 가지 구체적인 시나리오가 머리에 떠오르는데, 아마도 여러분들의 머리 속에는 다른 시나리오들도 생각날 것이다.

첫 번째 시나리오는 불행히도 내 개인적인 경험에 관한 것이다. 공격자가 서버를 손상시킬 때 그들은 종종 서버를 손상시킨 다음에 "정리"를 하곤 하는데 따라서 여러분은 그들이 어떻게 침입했는지 추정할 수 없게 된다. 만약 공격자들이 신중하다면 정리과정에는 로그파일을 삭제하여 공격자가 어떠한 기법을 사용했는지 여러분이 알 수 없게끔 하는 것도 포함된다. 만약 그들이 웹 서버 자체를 침입도구로 사용했을 경우 특히 사실인데 여기에 한술 더 떠서 단순히 몇 개의 스크립트화 시켜놓은 익스플로잇만으로 간단히 모든 로그파일들을 삭제해버린다. 이러한 경우 다른 곳에 있는 이러한 로그파일들의 사본을 갖는 것은 매우 손쉬운 일이다.

두 번째 시나리오는 아마도 가능성이 더 적긴 하지만 그냥 재미있는 것으로 보면 된다. 여러분이 한대 이상의 서버-특히 수십대에서 수백대에 이르는-를 가지고 있을 경우 로그파일의 수가 많기 때문에 그것들을 살펴보는 것은 상당히 따분한 일거리가 된다. 이러한 경우 그 로그파일들을 하나의 중앙 저장소로 결합시키는 것이 쓸모 있는 일일지도 모르겠다.

지금까지의 두 가지의 경우 모두 로그파일들을 로컬 파일 시스템에 기록하는 것 보다는 그것들을 중앙 syslog 서버로 보내는 것이 이상적이다.

syslog에 로깅하기

공교롭게도 아파치 웹 서버에 관해 아는 사람이 거의 없는 한 가지는 여러분이 단 한 줄의 설정 지시자만으로 에러 로그를 syslog에 로깅할 수 있다는 것이다:

ErrorLog syslog:local1

이게 전부다. 이것은 아파치에게 에러로그 출력을 local1이라 불리는 syslog 기능으로 보내라고 명령한다. 물론 여러분도 여러분의 syslog 서버가 이러한 로그 출력을 다른 서버-여러분의 syslog 서버-로 보내 로그파일에 기록하도록 해줄 필요가 있다.

정확히 말해 여러분이 이를 수행하는 방법은 각 syslog 구현마다 다를지도 모르겠다. 그러나 일반적인 리눅스 syslog는 /etc/syslog.conf라 불리는 파일(혹은 조금 다를 수도 있다)을 사용하여 syslog가 출력되는 방식을 설정한다.

아파치 에러로그는 표준 syslog 심각성 등급(syslog-standard severity ratings)를 사용하고 있으므로 여러분은 일반적인 syslog 설정을 사용하여 syslog 출력을 심각성 정도에 근거하여 각각의 다른 파일로 분리시킬 수 있다. 예를 들어, 만약 여러분이 치명적인 오류만을 특정 파일에 로그로 남기고자 한다면 /etc/syslog.conf 파일에 다음의 줄을 추가해 준다:

local1.crit   /var/log/apache.crit

게다가 이것은 /var/log/apache.crit 파일에 crit 및 더 높은 수준의 로그내용에 대한 로깅의 원인이 된다.

필자는 여러분이 로그내용을 다른 서버로 전송할 수 있다고 약속하였다. 다음 줄을 대신 사용하라:

local1.* @192.168.200.12

여러분도 원격 syslog 서버가 이러한 로그내용을 받아들이도록 설정할 필요가 있다. 대부분의 syslog 서버의 경우 syslog 서버의 시작 파라미터로 -r 플래그를 추가할 필요가 있다. 그러나 이것은 syslog 구현에 따라 다양하므로 여러분이 어떤 특정한 syslog 서버를 운영하고 있는지에 상관없이 문서를 참고하라.

액세스 로그 내보내기

불행히도 에러 로그만이 이 기능을 내장하고 있다. 여러분의 액세스 로그를 원격 서버에 로그로 남기는 것 또한 앞서 설명했던 연유로 정말로 유용한 일일 것이다.

여러분의 액세스 로그 역시 syslog로 보내주는 방법은 있다. 그러나 이러한 기사의 속성상 이 기능이 미래의 어느 시점에서 내장되어 이런 방법이 쓸모 없게 될지도 모르므로 아파치 웹 서버 문서화 사이트를 확인해 보는 것을 권장한다. 현재는 여러분이 해야 할 필요가 있는 것이 있는데, 두 단계에 걸친 과정이다.

먼저 로그내용을 syslog로 보낼 수 있도록 하는 스크립트를 작성한다:

    #!/usr/bin/perl
    use Sys::Syslog qw( :DEFAULT setlogsock );

    setlogsock('unix');
    openlog('apache', 'cons', 'pid', 'local2');

    while ($log = <STDIN>) {
                syslog('notice', $log);
    }
    closelog

펄로 작성된 스크립트는 Sys::Syslog 모듈을 사용하여 데이터를 syslog 서버로 전송한다. Sys::Syslog 모듈이 설치되어 있는지 확인해 보아야 하는데, 꽤 최근 버전의 펄에는 표준으로 지정되어 있을 것이다.

이 스크립트를 어딘가에 가져다 놓고 실행가능토록 만들어 둔다. 예를 들어 필자는 여러분이 이 스크립트를 /usr/local/apache/bin/apache_syslog에 가져다 놓았다고 가정한다.

다음으로 로그파일에 파이프 문법을 적용시켜 액세스 로그가 이 스크립트를 가리키도록 한다:

CustomLog |/usr/local/apache/bin/apache_syslog combined

apache_syslog 스크립트는 여러분의 웹 서버가 시작되면 실행될 것이며 로그파일의 내용을 서버로부터 받아오는 대로 처리한다. while 루프는 아파치 서버 프로세스가 살아있는 동안 계속 실행될 것이다.

이 스크립트에서 볼 수 있는 것과 같이 스크립트는 이러한 로그내용을 local2라는 이름을 가진 syslog 기능으로 전송하므로 /etc/syslog.conf에 들어있는 여러분의 syslog 서버를 다음과 같이 설정한다.

local2.*    @192.168.200.12

이 모듈에서 사용가능한 옵션에 대한 좀 더 자세한 정보를 보려면 Sys::Syslog 문서를 참조하라.

이 설정을 통해 여러분은 서버의 상태가 좋지 못하거나 치명적인 드라이브 결함이 있을 경우에도 무슨 일이 발생했는지에 대해 찾아볼 수 있는 로그파일의 원격 사본을 갖게 될 것이다.

또한 만약 여러분이 여러 개의 CustomLog 지시자를 갖고 있을 경우 여러 개의 로그파일을 가질 수 있음을 유념하라. 그러므로 여러분이 원격 로그파일에 추가하여 로컬 로그파일을 가지길 원한다면 간단히 로컬 로그파일을 가리키는 외부 CustomLog 지시자를 추가하기만 하면 된다:

CustomLog /usr/local/apache/logs/access_log combined

경고사항

물론 syslog로 로그를 남기는 데에도 몇 가지 경고사항은 있다.

첫째로 만약 여러분이 몇 대의 서버에서 중앙 syslog 서버로 로그를 남기고 있다면 여러분의 클럭과 NTP와의 동기화를 유지시키는 것이 중요하다. 여러분이 이것을 하지 않게 되면 로그파일의 로그내용들은 순서에 맞지 않게 도착한 것처럼 보이게 되며 이는 통계적인 정보를 구하기 위한 로그파일의 후처리를 하고자 할 때 곤경에 처하게 될지도 모른다. 특히 몇몇 웹 로그통계 소프트웨어는 로그파일의 내용이 순서가 엉망일 경우 오동작하게 될 것이며 로그파일의 처리를 거부할지도 모른다.

두 번째로 필자의 syslog 서버는 여러 개의 로그내용이 동일할 경우 그것들을 한 줄로 요약한다는 것을 알게 되었다. 예를 들어 특정한 존재하지 않는 파일에 대한 반복요청은 다음과 같은 결과를 만들어 낸다.

Aug 31 20:18:05 192.168.200.10 last message repeated 19 times

마지막으로 여러 대의 서버에 로그를 남기는 것이 가능한 써드파티 모듈이 있다는 것에 관해 언급하는 것은 값어치 있는 일이다. 이러한 모듈 중에서 가장 인기있는 것은 mod_log_spread인데 매우 큰 규모(여러 대의 서버)의 서버 구축에 효율적인 솔루션일 것 같다.

Rich Bowen은 아파치 소프트웨어 재단의 구성원으로서 주로 아파치 웹 서버에 대한 문서화 업무를 맡고 있다. DrBacchus, Rich's handle on IRC는 www.drbacchus.com/journal에서 찾아볼 수 있다.

출처 : http://cafe.naver.com/q69/5103

TransferLog "|/www/sbin/cronolog /www/logs/%Y/%m/%d/access.log"

ErrorLog    "|/www/sbin/cronolog /www/logs/%Y/%m/%d/errors.log"

/www/logs/1997/01/01/access.log

/www/logs/1997/01/01/errors.log

시스템의 로그를 위해서, syslog를 사용하며. 해킹등에 대비해서 원격 로그저장을
생각하게 되는데, 문제는 원격 syslogd 데몬이 이걸 받아주도록 해야 하고,
관리자 권한이 없다면, 외부에서 받도록 설정할 수도 없고, 자기 서버만의 로그파일에
기록하지 못하겠죠. 그래서, 원격 서버상의 일반 사용자들도 시스템로그를 백업 받을 수
있도록 함 고쳐보았습니다.

제가 이렇게 한 이유는, 얼마전 아는 웹서비스 서버가 외국 해커에게 해킹을 당했습니다.
한번 봐달라고 해서 봤는데, 할게 없더군요. 초보 해커가 아닌이상 흔적은 있지만
정보가 될만한것은 모두 지웠습니다. 그래서, 분석할 정보가 없어서, syslog의 원격로그
기능을 생각하였지만, 로그백업서버를 운영할만한 상황도 아니고, 제것도 아닌데
운영할 필요도 없다고 생각되어 이런 툴을 만들게 되었네요.

다른 리눅스상에서 작업하는 개발자나 관리자도 유용할거라 생각되어 적어봅니다.

아래에는 syslog에 대한 설명이고, 거의 마지막 3.3 섹션에서, 일반 유저권한으로서 로그백업서버역활을 할 수 있도록 하는 부분을 언급 하였습니다.

[차례]--------------------------------------------------------------------------------

1. syslog 설명
2. syslog.conf 파일 설명
3. 원격 저장을 위한 설정
3.1 로그를 받는 쪽
3.2 로그를 보내려는 쪽
3.3 일반사용자 계정으로 로그서버 설정 과 구축



1. syslog 설명

전통적인 유닉스 시스템에서는, 시스템에서 발생하는 내용들에대해서 로깅(Logging)을 제공합니다.
물론 보안과 관리의 목적이며 이 로그 파일들은 운영체제마다 조금씩 틀리지만,
리눅스의 경우 /var/log 에 쌓이게 됩니다.

시스템 관리자는 일정 규칙에의해 설정을 하게 되며, 자신이 개발하는 프로그램에도 syslog
기능을 사용하는게 가능합니다. syslog 기능은 syslogd 를 기동시킴으로서, 작동하게 되는데 물론
항상 떠 있어야 하겠고, 사용하는 관련 파일들로는 /etc/syslog.conf 가 주로 사용되고,
/etc/sysconfig/syslog, 원격백업등을위해서 /etc/hosts 파일과, /etc/services 파일등의 편집이
필요할 수도 있습니다.


2. syslog.conf 파일 설명

이 파일은 형식이, [selector]와 [action] 으로 나눠지며, 다시 [selector]는 [facility]와 [severity]로
나눠 집니다. 여기서 facility자리는 "어떤것에대해" 정도로 생각하면되고, severity는 "우선순위"
입니다. [action]은 보통 파일이름을 지정해서, 해당파일에 쓰란거죠. 여기다 원격지를 지정하면
원격지로 보냅니다.

정리하면, [facility][severity][action]은, 어떤것에대해(facility), 어떤 심각도(severity) 로,
어떻게 해라(action) 입니다.

[facility] 리스트 -----------------------------------------

kern: 커널
user: 사용자 레벨(일반 프로세스)
mail: 메일 서브 시스템
auth: 보안, 권한 프로그램들
daemon: 다른 시스템 데몬
news: 뉴스 서브시스템
local0-7: 다른용도 사용을위해 예약
* : 모든것

(이 외에도 몇가지가 더 있습니다.)

[severity] 리스트 ----------------------------------------

0 : emergency 비상상태
1 : alert 상태
2 : critical 상태
3 : error 상태
4 : warning 상태
5 : notice 상태
6 : info 정보 메세지 (시스템 분석용)
7 : debug (프로그램 디버그할때)
none : 이것이 facility와 사용되면 해당 facility는 제외,

[action] 필드 --------------------------------------------

파일명 : 해당 파일에 기록
@호스트명 : 해당 호스트로 전송

종합해서 샘플을 풀이해보자면,

mail.debug /tmp/maillog
(mail 에대해, 상태는 debug로해서, /tmp/mailog 에 기록하라)

*.debug;mail.none @myhost
(모든것에대해, 상태는 debug로, mail은 제외하고, myhost로 전송하라)

conf설정에서 중요한것은 칸을 띄울때는 공백이 아니라, 탭으로 하여야 합니다.(중요!!!)


3. 원격 저장을 위한 설정

3.1 로그를 받는 쪽

로그백업을 원격지로 보내기위해서는, 보내려는 syslogd 를 기동시킬때,
/etc/sysconfig/syslog 파일을 열어서

SYSLOGD_OPTIonS="-m 0 -r"
처럼 바꿔줍니다. -r 이 Remote 의미 입니다. 물론 위 설정을 안바꾸고 syslogd를 기동시킬때
옵션으로 줘도 되죠.



3.2 로그를 보내려는 쪽

/etc/hosts 파일을 편집합니다. 로그 서버를 giran이라고 칭하고, 도메인이 giran.uu.net 이며,
IP를 111.111.111.111 이라면

111.111.111.111 giran.uu.net giran loghost

처럼 설정을 해둡니다. /etc/hosts 파일 형식은 참고로,
[IP-address fully-qualified-domain-name hostname "loghost"] 형식입니다.

이렇게만 해두면, 로그를 받는 서버측이 잘 작동하는것을 볼 수 있습니다.
하지만, 우리의 문제는 로그를 받는쪽 서버의 일개 계정 사용자 뿐이라는 거죠.
그래서 슈퍼유저가 아니라서, 받을수도 없고, 설정할 수도 없고, 기존 로그파일에
섞일 우려도 있고요.


3.3 일반사용자 계정으로 로그서버 설정 과 구축

A) /etc/services 파일 수정

이 기능을 사용하려면, 먼저 [보내는 쪽]에서 수정해야할게 /etc/services 파일을 열어서

syslog 514/udp

라고 되있는 부분을 1514 처럼 원하는 값으로 바꿔주세요.
(이 값은 후에나올, slog 툴에서 리슨 포트랑 일치해야 겠죠)

이렇게 하는 이유는 syslogd 는 원격지로 패킷을 보낼때, udp 514번을 이용합니다.
514번은 이미 글로벌하게 사용되는 포트이고, 우리는 사적으로 사용할 계획이니까요.

B) /etc/syslog.conf 파일 예제

*.info;mail.none;news.none /var/log/messages
*.info;mail.none;news.none @loghost

위에서, 첫줄은 보통 디폴트로 있는 구문입니다. 그 아래에 같은형식으로 적고, 파일이 아닌
호스트로 수정해주세요. 이렇게 같은걸 2줄 적는 이유는 동시에 처리되게 하려는거죠
로컬 로그파일에도 기록되고, 원격 호스트로도 보내고요.

C) /etc/hosts 파일 예제

111.111.111.111 giran.uu.net giran loghost

이것은 위에서 언급했습니다.

이렇게 해서 [로그를 보내려는 클라이언트]의 설정이 마무리 되었습니다.
서버측은 설정할게 없습니다. 단지 자신의 개인 계정에서 첨부 소스파일을 압축을 풀어
소스에서, LOG_HOME 수정후, 컴파일하여 실행시키면 됩니다.

#define LOG_HOME "/user4/starzan/slog/"
처럼 되있는 부분을 자신의 계정의 디렉토리를 지정하면 되겠네요. 만약 포트가 충돌된다면,
소스에서 역시 포트 번호를 바꾸시면 되며, C 소스파일에 대해서는 설명을 생략합니다.
소스는 저도 손가는대로 짠이후 안봐서 버그가 있을수 있으니, 직접 고쳐 사용하시던지
아니면, 적어주세요. ^^

# tar xvfz slog.tgz

# make (바이너리 만듦니다.)

# ./slog
# 죽일때는, kill [pid]

이 slog는 로그파일을 원격지 ip별로 기록합니다. 저 같은경우 이렇게 실행 함으로서
여러대의 로그파일을 관리했죠.
즉,
111.111.111.111.log
111.111.111.112.log
111.111.111.113.log
처럼 패킷이 들어오는 ip에 따라 로그에 기록합니다. 그래서 서버별로 관리 하기 좋죠.

출처:http://blog.naver.com/PostView.nhn?blogId=junix&logNo=80087440477

로그서버 구축

1. 각 서버의 모든 로그를 로그서버에 원격 보관하고 웹에서 모니터링할 수 있는 환경 구축

   1. 분산되어 있는 시스템 로그를 한곳에서 실시간 모니터링할 수 있어 서버 장애 모니터링 능력을 향상시킴

   2. 각 서버 시스템로그의 백업 효과

2. 구성

서버 : x.x.x.27

클라이언트 : 전체 서버(현재는 x.x.x.44, x.x.x..20  2대로 테스트중)

데몬 : 로그서버 rsyslog, 웹프로그램 phplogcon

3. 데모 :

4. 설정 메뉴얼

* 클라이언트의 로그가 로그서버의 /var/log/messages 에 저장되는 구성

   다시 이로그는 로그서버의 DB에 저장됨

클라이언트(파일로 넘기는 설정, DB에도 넘어감)

yum install rsyslog rsyslog-mysql

chkconfig syslog off

chkconfig rsyslog on

service syslog stop

------------/etc/sysconfig/rsyslog

SYSLOGD_OPTIONS="-m 0"
KLOGD_OPTIONS="-x"

------------/etc/rsyslog.conf

*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 *
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
*.*        @x.x.x.27

service rsyslog start

클라이언트(파일로 남지 않고 DB로 바로 넘기는 설정)

yum install rsyslog rsyslog-mysql

chkconfig syslog off

chkconfig rsyslog on

service syslog stop

------------/etc/sysconfig/rsyslog

SYSLOGD_OPTIONS="-m 0"
KLOGD_OPTIONS="-x"

------------/etc/rsyslog.conf

$ModLoad ommysql.so
$template dbFormat,"insert into SystemEvents (Message, Facility, FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '서버IP주소', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')",SQL
*.* :ommysql:x.x.x.27,Syslog,rsyslog,1q2w3e;dbFormat
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 *
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log

service rsyslog start

서버

yum install rsyslog rsyslog-mysql php httpd mysql-sever

chkconfig syslog off

DB설정

mysql -u root
source /usr/share/doc/rsyslog-mysql-2.0.6/createDB.sql
grant insert privileges on Syslog.* to '유저명'@'%' identified by '비밀번호';
flush privileges;
quit

service rsyslog restart

mysql -u root Syslog
select count(*) from SystemEvents;

chkconfig rsyslog on

service syslog stop

------------/etc/sysconfig/rsyslog

SYSLOGD_OPTIONS="-m 0 -r"
KLOGD_OPTIONS="-x"

------------/etc/rsyslog.conf

$ModLoad ommysql.so
$template dbFormat,"insert into SystemEvents (Message, Facility, FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%FROMHOST%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')",SQL
*.* :ommysql:localhost,Syslog,rsyslog,1q2w3e;dbFormat
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 *
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log

service rsyslog start

rsyslog 정상실행 로그
May 2 00:27:32 server rsyslogd: [origin software="rsyslogd" swVersion="2.0.6"
x-pid="10400" x-info="http://www.rsyslog.com"][x-configInfo udpReception="No" upPort="514" tcpReception="No" tcpPort="0"] restart

방화벽 설정
vi /etc/sysconfig/iptables
-A RH-Firewall-1-INPUT -p udp --dport 514 -s x.x.x.0/255.255.255.0 -j ACCEPT
service iptables restart

tcp로 로그를 전달하는 설정
서버 설정옵션에 -t514 추가
클라이언트 설정에 @@x.x.x.27 과 같이 설정(UDP는 @x.x.x.27임)
방화벽 설정추가
-A RH-Firewall-1-INPUT -p tcp --dport 514 -s x.x.x.0/255.255.255.0 -j ACCEPT

todo list

- 서버 정보가 호스트네임으로 기록되는 것을 IP주소로 남길 수 있도록 수정

  - mysql로 직접 로그를 보내는 경우 %FROMHOST%가 안먹힘

- 원격로그서버 /var/log/messages 단일 파일에 모든 서버의 로그가 기록되는 것을 각 서버별/기간별로 나누어서 저장되도록 수정

- 보안 조치

   - 웹프로그램 접근제한(id/pw 인증, apache, htaccess)

   - 특정 서버만 원격로그서버를 사용할 수 있도록 제한, iptables, x.x.x.0/255.255.255.0, udp 514

참고자료
원격로그서버 세팅방법 : http://iscert.springnote.com/pages/1554282
rsyslog.conf : http://www.rsyslog.com/doc-rsyslog_conf_actions.html

---------

2011.3.24

http://gembuls.wordpress.com/2011/02/12/how-to-install-rsyslogmysql-with-loganalyzer-on-centos/

2011.3.29

CentOS 5.5 で rsyslogを使ってMySQLにsyslogメッセージを書き出す
http://ossexpo.blogspot.com/2010/10/centos-55-rsyslogmysqlsyslog.html

Rsyslog+MySQL+LogAnalyzer
http://itorzorg.blogspot.com/2010/10/rsyslogmysqlloganalyzer.html


RHEL ES4 update 3 x86_64にrsyslogをインストールする
http://ysmt.blog21.fc2.com/blog-entry-308.html

------

2011.12.13

Working Apache and Rsyslog configuration

http://wiki.rsyslog.com/index.php/Working_Apache_and_Rsyslog_configuration

Splunk/Rsyslog/Apache/Ubuntu Quickstart

http://bitkickers.blogspot.com/2010/12/splunk-rsyslogapacheubuntu-quickstart.html

Remote logging of Apache logs

http://tipstricks.itmatrix.eu/?p=274

Rsyslog & PHPSyslog

http://pbraun.nethence.com/doc/net/rsyslog-phpsyslog.html

2013.2.15

CentOS 6.3에서 rsyslog를 간단히 remote syslog 서버로 설정 변경 방법

출처 : http://www.ehowstuff.com/how-to-setup-central-log-server-using-rsyslog-on-centos-6-2centos6-3/

/etc/rsyslog.conf 의 해당 부분을 아래와 같이 수정

# Provides UDP syslog reception

$ModLoad imudp.so

$UDPServerAddress 0.0.0.0

$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp.so

$InputTCPServerRun 514

Kiwi SyslogGen - Syslog 테스트를 위한 로그 생성기

Kiwi SyslogGen - Test Your Kiwi Syslog Server Installation

http://www.kiwisyslog.com/downloads.aspx

-> 요거 좋다!!!

Kiwi SyslogGen sends Unix type Syslog messages created from the GUI to a host running a Syslog Server.

Kiwi SyslogGen can be used to test a Syslog Server setup and diagnose communication problems.

Features

· GUI Interface

· Sends standard Unix Syslog messages (or enhanced messages compatible with Kiwi

Syslog Server)

· Fast and simple to use

· Free to use for as long as you like

· Fully test your Syslog Server setup

· Create BSD Syslog Daemon RFC3164 compliant message headers

· Send messages using either UDP or TCP protocol

· Can send sequentially numbered messages

· Can replay syslog messages from an Ethereal capture file

rsyslog evaluation

http://mperedim.wordpress.com/2010/01/21/rsyslog-evaluation/