[SyslogAnalyzer][Centos7] 모니터링 대상 서버의 로그 파일 모니터링 서버에 보내주는 세팅

Syslog Analyzer 모니터링 서버 IP : 999.888.777.666 이라고 가정

 

 

1. vim /etc/rsyslog.conf

/etc/rsyslog.conf 파일 내에 아래 설정값을 넣어줍니다.

 

    Centos6 에서는 아래 설정을 추천드리며

*.info;mail.none;authpriv.none;cron.none @999.888.777.666

 

    Centos7 에서는 아래 설정을 추천드립니다.

*.emerg;mail.none;*.alert;*.crit;*.err;*.warn;mail.none;authpriv.none;cron.none @999.888.777.666

 

 ( Centos7의 경우 info성 메시지까지 모두 보내면 너무 데이터 양이 많아 정상적인 Syslog Analyzer 모니터링을 진행하기가 상당히 힘들어 제외해주었습니다. )

 - 추가적인 설정 옵션 값들은 해당 글 최하단에서 확인 가능합니다. - 

 

 

2. rsyslog restart

설정값 입력하여 저장 후 변경 내용 적용을 위해 데몬 재시작을 진행해줍니다.

Centos 6 : /etc/init.d/rsyslog restart

Centos 7 : systemctl restart rsyslog

 

 

 

3. 결과

이 작업을 통해 위 설정값이 포함된 서버들과 모니터링 서버의 log가 syslog analyzer 로 수집됩니다.

만약 특정 서버의 로그를 수집하지 않고 싶다면, 위에 넣어준 설정을 빼고 다시 rsyslog restart해주면 되겠습니다.

 

만약 모니터링 서버 자체 로그는 수집 항목에서 제외하고 싶다면 아래 내용을 참조해주세요.

(예를 들어 스위치 장비들 모니터링 전용 syslog analyzer를 구축하였을 경우 자기 자신의 로그는 쌓이지 않도록 해야하기 때문에 (자기 자신은 서버이므로) 추가적인 작업이 필요합니다.)

 

 

 

 

facility.priority; facility.priority; facility.priority; ··· ···   action(logfile-location)

형태로 작성

 

 [ facility : 로그 생성 서비스 ] 

ㆍ * :  모든 서비스

ㆍauthpriv : 인증 및 보안 관련 메시지

ㆍcron : cron 데몬과 atd데몬에 의해 발생되는 메시지

ㆍdaemon : telnet, ftp 등과 같은 데몬에 의한 메시지

ㆍkern : kernel에 의한 메시지

ㆍlpr : 프린터 데몬인 lpd에 의해 발생되는 메시지

ㆍmail : sendmail, pop, qmail 등의 메일 시스템에서 발생되는 메시지

ㆍnews : USENET 등과 같은 뉴스시스템에 의해 발생되는 메시지

ㆍuser : 사용자에 의해 생성된 프로세스

ㆍsyslog : syslogd에 의해 발생되는 메시지

ㆍlocal0 ~ local7 : 시스템 부팅 메시지 기록, 기타 여분 서비스에 사용하기 위한 설정

 

 [ priority : 로그 수준(Level) ] 

높음    

 ㆍ           emerg : 시스템이 전면 중단되는 패닉상태, 전체 공지가 필요한 상황 (system is unusable)

 ㆍ           alert : 즉각적인 조치가 필요한 상황 (action must be taken immediately)

 ㆍ           crit : 하드웨어 등의 심각한 오류가 발생한 상황 (critical condition)

중간          err : 일반적인 에러/오류가 발생한 상황

 ㆍ           warning : 경고 메시지

 ㆍ           notice : 에러/오류는 아니지만 관리자의 조치가 필요한 상황

 ㆍ           info : 의미 있는 정보 관련 메시지

 ㆍ           debug : 디버깅용 메시지

낮음          

 

 [ Action ] 

ㆍ로그 파일 : 파일명(경로) 지정 ex) /var/log/messages

ㆍ콘솔 : /dev/console로 지정 시 콘솔 출력

ㆍ원격 로그 서버 : "@호스트 주소"를 통해 지정한 호스트로 로그를 보냄 ex) @192.999.888.777

ㆍuser : 지정된 사용자의 스크린으로 메시지를 보냄

ㆍ* : 현재 로그인 되어있는 모든 사용자의 스크린으로 메시지를 보냄