前回のDNSサーバーの記事に引き続き…
この記事では、Syslogサーバーの立て方について紹介していきます!
ネットワーク環境のログを収集するために Syslogサーバーを立てるとなった際に、「1からサーバー構築する方法」と「構築済みサーバーを利用する方法」と2つの方法ありますが…
どっちの方法がいいかイマイチ分からない…
自分の環境に合わせたログ収集がしたい…
といった場合になるでしょう。
そこで今回!
以前ご紹介した記事と同じように
1からサーバー構築できる汎用サーバーと
構築済みサーバーに特化したアプライアンスサーバーから
Syslogサーバーを立てる方法について比較していきます!
☟以前ご紹介しましたDNSサーバーを立てる方法は、コチラの記事です☟
はじめに
今回、使用する製品と比較する内容は以下の通りです。
・使用製品
OpenBlocksシリーズ:OpenBlocks IX9
EasyBlocksシリーズ:EasyBlocks Syslog
・比較内容
Syslogサーバーの導入・設定・サービス開始の方法
・共通設定
構築:機器から送信されるログデータの保存
ネットワークアドレス:192.168.254.0/24
ドメイン名:test.org
製品環境
OpenBlocks IX9:ソフトウェアバージョン 5.10.176
EasyBlocks Syslog :ソフトウェアバージョン 1.1.8
初期設定やネットワーク設定が完了している状態です。
どちらの機器もLANケーブルでインターネット回線と繋がっています。
ログ送信機器は IPアドレス[192.168.254.12]です。
参考サイト
DebianEdu/HowTo/syslog-ng – Debian Wiki
syslog-ng – ArchWiki (archlinux.jp)
syslog-ng | syslog-ng is an enhanced log daemon, supporting a wide range of input and output methods: syslog, unstructured text, queueing, SQL & NoSQL. (jmcorallo.github.io)
汎用サーバーの場合
ここからは汎用サーバーである(OpenBlocks IX9)での、Syslogサーバーの立て方を説明していきます。操作はコマンドプロンプトからとなります。
導入方法
まず、Syslogサーバーのプログラムであるsyslog-ngをインストールしてます。
root@obsix9:~# apt install -y syslog-ng
syslog-ngをインストールする際に、rsyslogは自動的に削除されます。
設定方法
インストールが完了したら、syslog-ngの設定ファイルを以下のように編集、保存します。
root@obsix9:~# vi /etc/syslog-ng/syslog-ng.conf
# 送信元の定義
# 送信元のプロトコルや範囲を指定する
source s_net { udp(); tcp(); };
# フィルターの定義
# 受信するプライオリティを指定する
filter f_all { level(debug..emerg); };
# 送信先の定義
# ログを保存するファイルを指定する
destination d_file { file("/var/log/syslog-ng.log"); };
# ルーティングの定義
# 利用する定義(送信先,フィルター,送信先)を指定する
log { source(s_net); filter(f_all); destination(d_file); };
設定した内容
・UDP、TCPから送信されたログデータはすべて受信する。
・すべてのプライオリティを受信する。
・送信されたログデータを /var/log/syslog-ng.log に保存する。
サービスの開始方法
設定後、以下のコマンドでSyslogサーバーのサービスを起動します。
root@obsix9:~# systemctl start syslog-ng
すでに起動している場合は
root@obsix9:~# systemctl restart syslog-ng
サービスが起動していると画像のようにログを保存します。
以上で、汎用サーバー(OpenBlocks IX9)での、Syslogサーバーの立て方は完了です。
アプライアンスサーバーの場合
EsayBlocks Syslogでは、syslog-ngと MariaDBというデータベースで既にSyslogサーバーが構成されているため、導入や送信元などを設定する必要がありません。
そのため、ここからはアプライアンスサーバー(EasyBlocks Syslog)の便利機能の説明していきます。
便利機能の設定方法
WebUIのサービスの基本設定から様々な機能を設定できます。
以下は一部機能の概要です。
① 自ホストのsyslog:本体のログデータを受信する設定です。
② ホスト名解決:送信元のIPアドレスをホスト名で表示します。
※DNSサーバーと接続する必要があります。
③ メール通知:指定したキーワードと部分一致するメッセージを受信した際に
指定したメールアドレスに通知することができます。
④ SNMP Trap受信:SNMP Trapを受信して、Syslogとして表示します。
⑤ バックアップ送信:FTPサーバーにログデータのバックアップを転送します(月ごと)。
その他詳しい設定方法などは以下のURLから確認できます。
☟メール通知とバックアップ送信の設定は、コチラの記事で詳しく紹介しています☟
サービスの開始方法
基本設定のsyslog受信機能からサービスのON/OFFができます。
サービスが起動していると画像のようにログを保存します。
また、フィルタから時刻やホスト名、プライオリティなどからログを検索することができます。
以上で、アプライアンスサーバー(EasyBlocks Syslog)での、Syslogサーバーの立て方は完了です。
最後に
Syslogサーバーを立てる際の 汎用サーバーと アプライアンスサーバーを比較すると
● 汎用サーバー
・Syslogサーバーを自由に立てられる
・自身で立てるため費用を抑えられる
・他サーバーも導入することができる
こういう人にオススメ!→ 自分の手で自由にSyslogサーバーを構築したい!
● アプライアンスサーバー
・既にSyslogサーバーが導入されているので、すぐに立てられる
・さまざまな便利機能が搭載済み
・どこに何を設定すればいいか一目で分かりやすい
こういう人にオススメ!→ 誰でも簡単に構築できるSyslogサーバーをすぐに導入したい!
今回は、Syslogサーバーの立て方について紹介しました。Syslogサーバーを立てる際に「ログ収集したいけど、どっちのサーバーで立てればいいか簡単に知りたい!」という方のご参考になれば幸いです。
☟今回使用した製品は、コチラになります☟
