Syslog-NG 설치 및 설정

by apollo89 Posted on 2012년 6월 28일

 

목표 : 모든 서버의 SYSLOG를 로그 서버로 쏘게 하고, 로그서버에서는 HOST-yyyymmdd.log 를 만들어 관리하도록 설정.
Syslog-NG(Syslog New Generation)는 보다 향상된 필터링 및 포워딩 기능 외에 메시지 무결성과 암호화 기능을 추가하여 syslog의 유연성을 증가시켰으며, TCP와 UDP 프로토콜을 통한 원격 Logging을 지원합니다.
안정성에 있어서도 좋은 평가를 받고 있으며, 게다가 고급 보안 기능들은 아직까지도 업데이트중에 있지만, 원격호스트로부터 받는 메시지를 인증하고 암호화하는 기능은 SSL Wrapper인 Stunnel와 ssh와 같은 TCP 터널링 도구와 함께 사용될 수도 있습니다.

1. libol 설치

헐.. gcc 설치..

libol 설치 재시도

gcc-c++, glibc-devel도 설치

libol 설치 성공!!

2. eventlog 설치

3. libnet 설치

4. syslog-ng 설치

흐미 또 error… glib2.x86_64, glib2-devel.x86_64 설치후 재시도

2. 설정

syslog-ng.conf 파일은 options{}, source{}, destination{}, filter{}, log{} 문으로 구성

options{} 은 말그대로 옵션이므로 생략

time_reopen : 재실행시 대기 시간
log_fifo_size : output큐를 라인수에 맞추는 크기
long_hostnames : 긴 호스트네임을 그대로 쓸것인지 아닌지 설정 on/off로 지정
use_dns : dns쿼리를 사용할 것인지 아닌지 설정 yes/no로 지정(no지정된 DOS(서비스 거부 공격)에 막아낼수 있게 된다.)
use_fqdn : 호스트네임을 사요할 것인지 아니면 전체 도메인을 사용할 것인지 설정
create_dirs : destination파일을 위한 디렉토리 생성 여부를 설정 (yes/no)

source{} 는 어디서 부터 로그를 받을 것인지 설정할 수 있다.
fifo/pipe, file, internal, sun-streams, tcp/udp, usertty, unix-dgram 등이 올 수 있다.

예)

destination{} 는 로그를 어떻게 보낼(저장할) 것인가를 설정할 수 있다.
fifo/pipe, file, program, tcp/udp, unix-stream(unix-dgram) 등이 올 수 있다.

예)

filter{}는 여러가지 함수를 실행할 수 있다. 보통 로그 기록을 필터링하게 된다.
facility() : facility중 일치하는 로그를 가져오는 함수
facility의 값 : auth, authpriv, cron, daemon, kern, lpr, mail, news, syslog, user, uucp, local0 – local7

level()/priority() : level/priority중 일치하는 로그를 가져오는 함수.
level/priority의 값 : (엄격도가 감소하는 순서) debug, info, notice, warning, warn (same as warning),err, error (same as err), crit, alert, emerg, panic (same as emerg)

host(regexp)

match()

program(regexp)

예 )

log{} 는 지정된 source를 filter를 적용해 destination을 실행한다.

예)

udp 514으로 들어오는 로그를 host-yymmdd.log 으로 저장하고,
로그에 HACK 이 들어있는 로그는 따로 필터해서 hack-host-yymmdd.log 에 저장하도록 설정

참고

http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch05_:_Troubleshooting_Linux_with_syslog
http://www.campin.net/syslog-ng/expanded-syslog-ng.conf
http://www.jjangu.pe.kr/blog/522
http://kltp.kldp.net/stories.php?story=04/02/12/9073427

 

This entry was posted in System and tagged , , . Bookmark the permalink.

댓글 남기기