Rsyslog

Serveur

4 fichiers de conf:
/etc/rsyslog.conf
laisser la conf par défaut, décommenter la ligne module(load=“imudp”) si nécessaire /etc/rsyslog.d/
- 01-templates.conf
ce fichier va contenir la définitions des templates qu'on pourra ensuite appliquer à un rulesset.

template(name="json-template"
			type="list"
			option.json="on") {
			constant(value="{")
			constant(value="\"@timestamp\":\"")     property(name="timereported" dateFormat="rfc3339")
			constant(value="\",\"@version\":\"1")
			constant(value="\",\"message\":\"")     property(name="msg")
			constant(value="\",\"host\":\"")        property(name="hostname")
			constant(value="\",\"severity\":\"")    property(name="syslogseverity-text")
			constant(value="\",\"facility\":\"")    property(name="syslogfacility-text")
			constant(value="\",\"programname\":\"") property(name="programname")
			constant(value="\",\"procid\":\"")      property(name="procid")
	        constant(value="\"}\n")}
}
template (name="test" type="string" string="/var/log/rsyslog/test/%programname%/%$YEAR%/%$MONTH%/%HOSTNAME%.log")

- 02-rulesset.conf
ce fichier va contenir la définition des ruleset qu'on pourra ensuite appliquer au fichier client.conf.

 
ruleset(name="remote515") {
		action(
		type="omfile"
		DynaFile="test"
		)
 
		action(
		type="omfwd"
		Target="10.10.10.10"
		Port="5044"
		Protocol="udp"
		)
	stop
}

- client.conf
ce fichier va définir la manière de traiter les logs du client:

input(type="imudp" port="515" ruleset="remote515")

Client

1 fichier de conf: /etc/rsyslog.conf: Garder la configuration par défault, rajouter la ligne *.* @<rsyslog_server>:<UDP_port> dans notre exemple, le port UDP est celui utilisé dans le ruleset du 515 donc 515

on redémarre le tout.

Vérifications

On peut enfin tester si la configuration fonctionne par exemple en redémarrant un service

sur le client:

service sshd restart

sur le server:

 $ ls /var/log/rsyslog/test/
 sshd  systemd
 $ cat /var/log/rsyslog/test/sshd/2018/05/CIS-ELK-Kibana01.log
 May  7 15:00:00 CIS-ELK-Kibana01 sshd[1189]: Received signal 15; terminating.
 May  7 15:00:00 CIS-ELK-Kibana01 sshd[1200]: Server listening on 0.0.0.0 port 22.
 May  7 15:00:00 CIS-ELK-Kibana01 sshd[1200]: Server listening on :: port 22.
wiki/rsyslog.txt · Dernière modification: 2018/05/07 15:20 par root
CC0 1.0 Universal
Powered by PHP Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Valid HTML5