前言

如題，因為我是公司的Infra，所以算是機房管理者兼伺服器管理者，所以這次公司導入ISO27001，我一瞬間人生多了好多表單，你要連訪客WiFi?請填表單，你要開虛擬機?請填表單，你要安裝作業系統?那一定會開到帳號請填表單，你要跨網段存取喔?請填防火牆條件表單，哈哈，滿世界的表單，搞得我同仁都不太敢叫我開權限給他們，每請我協助一件事情就幾乎要填一張表單XD，我就不說我老闆要借電腦，也要填表單，哈哈，超級有趣。
其中一條就是要收集網路設備及重要設備的Log，要拿來對照資安事件，後續還要對Log進行監控和隨時可以調閱，目前只是叫我單純的先收集下來，本來專案上就有ELK的架構，但是我老大(主管兼老闆)說Logstash不知道有沒有濾掉什麼欄位，所以叫我先用Rsyslog來收集，我只好再去看了一下Rsyslog怎麼寫設定檔的，一天就把他弄好了，可能是因為我要的功能只是收集而已，所以還算簡單，就上來紀錄一下拉~

Rsyslog

• Rsyslog為Ubuntu和Centos原生收集log的系統，所以不用經過下載就有了，甚至還運行著，所以直接去改設定檔。
• 修改 /etc/rsyslog.conf

# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")

# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")

$template remote-incoming-logs,"/tmp/nassmb/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
& ~

• 簡單來說就是將專門收syslog的514 Port TCP/UDP開啟監聽，並宣告一個log的模板與路徑來儲存收集到的log。

• 接著重啟Rsyslog即可。

sudo systemctl restart rsyslog

• 可以下指令查看514是否有監聽中。

ss -tunelp | grep 514

• 如果有防火牆的記得打開喔~
• 接著就要去設種網路設備及伺服器中設定將syslog傳送過來，通常網路設備設定較簡單，只需要你輸入Rsyslog的主機IP，有時候連Port都不能改，就可以傳送syslog，Esxi我也是找了一下，算是挺好設定的，設定好接收IP後開啟防火牆服務即可傳送，大家可以去嘗試看看，非常簡單。