rsyslog server為 ubuntu 系統
透過 /etc/rsyslog.conf 啟用了服務
並在其他台 vm 把log全部轉發
但目前發現 log server 本體的
/var/log/syslog
/var/log/auth.log
以飛快的速度長大, 似乎是連其他台的log全部收納進來
請問有較佳的配置設定, 符合到只收重要的log
而不是全部收納嗎?
目前vm有安裝checkpoint client, 跟啟用supervisord
這兩個服務因為log產出量太大, 因此不打算紀錄
參考網路文章 syslog server的設定如下
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
$template remote-incoming-logs,"/var/log/rsyslog/%HOSTNAME%/%PROGRAMNAME%_%$YEAR%-%$MONTH%-%$DAY%.log"
*.* ?remote-incoming-logs
其他vm的轉發設定如下
if $programname == 'supervisord' and $syslogseverity-text == 'info' then stop
if $programname == 'cpla-sandbox' then stop
if $programname == 'kernel' then stop
if $programname == 'systemd' then stop
if $programname == 'CRON' then stop
if ($hostname == 'may' or $hostname == 'july') and ($programname == 'sudo') then {
stop
}
auth,authpriv.* @@172.16.17.180
local7.* @@172.16.17.180
local4.* @@172.16.17.180
kern.* @@172.16.17.180
已邀請的邦友 {{ invite_list.length }}/5
這是在網路上找到的訊息:日志管理——rsyslog、logrotate
日志信息分为以下级别,从上到下依次降低
none –什么都不记录
0 emerg –内核崩溃等严重信息
1 alert –需要立刻修改的信息
2 crit –严重级别,阻止整个系统或者整个软件不能正常工作的信息
3 err –错误级别,阻止某个功能或者模块不能正常工作的信息
4 warning –警告级别
5 notice –最具有重要性的普通条件的信息
6 info –一般信息的日志,最常用
7 debug –有调式信息的,日志信息最多
不過一般Log檔太大,我個人會建議先使用logrotate,看您公司資安規範是否有規定Log有必要留存多久?再算一下依規定的留存天數空間佔用是多少?如果算了之後還是覺得太大,再來思考有那些Log不要收。
iThome鐵人賽
看影片追技術