クリア

UNIXデバイスでのSyslogサービスの構成

注意:さまざまなプロトコルで使用されるデフォルトのポート番号に注意してください。


使用されるデフォルトのポート番号プロトコル

  1. 513&514 UDP
  2. 514 TCP
  3. 513 TLS
  • Rootユーザーとしてログインし、/etcディレクトリのsyslog.conf/rsyslog.conf/syslog-ng.confファイルを編集します。
  • 端末のロガーを確認するには、ターミナルまたはシェルで「'sp -aux | grep syslog'」コマンドを実行します。
  • UDPベースのログ収集の場合は、以下を追加します。
    *.*<space/tab>@<EventLog Analyzer_server_name>:<port_no>(を末尾に付けます)(<EventLog Analyzer_server_name>は,EventLog Analyzerが動作しているマシンの名前です)。設定を保存し、エディタを終了します。
  • TCPベースのログ収集の場合は、次を追加します。 

*.*<space/tab>@@<EventLog Analyzer_server_name>:<port_no>(を末尾に付けます)(<server_name>はEventLog Analyzerが稼働しているマシンの名前です)。設定を保存し、エディタを終了します。

  • TLSベースのログ収集の場合:

前提条件:

  • HTTPSを有効にし、server.xmlで有効な証明書を構成します。有効なSSL証明書を構成する方法については、ここをクリックしてください。
  • 証明書の保存にはpfx形式のみがサポートされています。キーストア形式を使用する場合は、pfxに変換してください。

自己署名証明書の使用:

  • 自己署名証明書を適用すると、<EventLog Analyzer_Home>/Certificatesという場所に「ca.crt」というファイルが作成されます。
  • クライアントでログ転送を構成するときに、このファイルをルート証明書として使用します。

他の証明書の使用:

  • ログ転送を構成するには、証明書ベンダーからルート証明書を取得します。 
  • 前提条件を確認した後、/etcディレクトリのsyslog.conf/rsyslog.conf/syslog-ng.confファイルに以下のコメントを追加します。
クリップボードにコピー

$DefaultNetstreamDriverCAFile <CACertificate>

$ActionSendStreamDriver gtls

$ActionSendStreamDriverMode 1

$ActionSendStreamDriverAuthMode x509/name

$ActionSendStreamDriverPermittedPeer <hostname>

*.*<space/tab>@@<EventLog Analyzer_server_name>:<port_no>

設定を保存し、エディタを終了します。

注意:上記のデフォルトポート以外の別のポートを使用する場合は、ポート管理設定で指定してください。

次のコマンドを使用して、デバイスでsyslogサービスを再起動します。

/etc/rc.d/init.d/syslog restart

注意:Linuxデバイスでsyslog-ngデーモンを構成するには、/etc/syslog-ng/syslog-ng.confの最後に次のエントリを追加します

UDP ベースのログ収集の場合:

*.*<space/tab>@<EventLog Analyzer_server_name>:<port_no>(設定ファイルの末尾に付けます)(<EventLog Analyzer_server_name>は、EventLog Analyzerが動作しているマシンのDNS名またはIPアドレスです)。設定を保存し、エディタを終了します。

TCP ベースのログ収集の場合:

*.*<space/tab>@@<EventLog Analyzer_server_name>:<port_no>(を末尾に付けます)(<server_name>は、EventLog Analyzerが動作しているマシンのDNS名またはIPアドレスです)。設定を保存し、エディタを終了します。

注意:指定するEventLog AnalyzerサーバーがSyslogデバイスから到達可能であることを確認してください。

TLSベースのログ収集の場合:

destination d_EventLog Analyzer { tcp("<hostname>" port(<port>)tls(ca_dir("<CACertificate>") ); }; 

log { source(src); destination(EventLog Analyzer); };

注意:上記の構成では、マシンログのEventLog Analyzerサーバーへの転送のみが有効になります。

監査ログをEventLog Analyzerサーバーに転送

以下の構成は、Linuxデバイスのrsyslog.conf(または)syslog.confで実行する必要があります。

  1. [モジュール]セクションで、「$ModLoad imfile」が含まれているかどうかを確認します。(このモジュール「imfile」は、入力テキストファイルをsyslogメッセージに変換し、それをEventLog Analyzer Serverに転送できます)。
  2. 次のディレクティブには、外部ログファイルの詳細が含まれています。

    $InputFileName <Monitored_File_Absolute_Path>

    $InputFileStateFile <State_Filename>

    $InputFileSeverity <Severity >

    $InputFileFacility <Facility >

    $InputRunFileMonitor

  3. ログを転送するためには、以下の行を提供する必要があります。<Facility>.<Severity> @Host-Ip:Port

例:

$InputFileName /var/log/sample.log

$InputFileStateFile sample

$InputFileSeverity info

$InputFileFacility local6

local6.info @EventLog Analyzer-Server:514

ここでは、「/var/log/sample.log」は転送される外部ファイルです。

注意:
  1. これらの手順は、すべてのLinuxデバイスに適用できます。
  2. 異なる<Monitored_File_Absolute_Path>に対して、固有の<State_Filename>を使用してください。
  3. 監査ログを転送する場合、セキュリティが強化されたRed Hatシステム(SElinux)のデフォルトポリシーでは、監査ログの読み取りが許可されない場合があります。その場合は、etc/audisp/plugins.d/syslog.conf:「active=yes」を追加することで、監査ログを転送することができます。
       概要