AdminSysGNULinux

Outils pour utilisateurs

Outils du site

Piste :
tech:log_syslog_rsyslog

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
tech:log_syslog_rsyslog [2025/03/24 15:06] – créée - modification externe 127.0.0.1tech:log_syslog_rsyslog [2025/11/14 08:42] (Version actuelle) Jean-Baptiste
Ligne 36: Ligne 36:
  
 Supprimer certaines classes de messages Supprimer certaines classes de messages
-<code c>+<code ->
 *.=debug stop *.=debug stop
 *.=info stop *.=info stop
Ligne 46: Ligne 46:
 Supprimer des messages Supprimer des messages
 voir https://linux.die.net/man/5/rsyslog.conf voir https://linux.die.net/man/5/rsyslog.conf
-<code c>+<code ->
 # discards everything # discards everything
 #*.* ~ #*.* ~
Ligne 52: Ligne 52:
 </code> </code>
  
-<code c /etc/rsyslog.conf>+''/etc/rsyslog.conf'' 
 +<code ->
 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
  
Ligne 59: Ligne 60:
 </code> </code>
  
-<code bash /etc/default/rsyslog>+ 
 +''/etc/default/rsyslog'' 
 +<code bash>
 # Options for rsyslogd # Options for rsyslogd
 # -x disables DNS lookups for remote messages # -x disables DNS lookups for remote messages
Ligne 66: Ligne 69:
 RSYSLOGD_OPTIONS="-x" RSYSLOGD_OPTIONS="-x"
 </code> </code>
 +
  
 == Conf client / serveur == Conf client / serveur
Ligne 72: Ligne 76:
  
 Il est possible d'utiliser UDP, TCP, TLS, RELP https://gist.github.com/drmalex07/bb178d61f800488446d22de4301160f1 Il est possible d'utiliser UDP, TCP, TLS, RELP https://gist.github.com/drmalex07/bb178d61f800488446d22de4301160f1
 +
  
 === Conf serveur === Conf serveur
Ligne 79: Ligne 84:
 </code> </code>
  
-<code python /etc/default/rsyslog>+''/etc/default/rsyslog'' 
 +<code python>
 module(load="imtcp") module(load="imtcp")
 #input(type="imptcp" port="1514" address="127.0.0.1") #input(type="imptcp" port="1514" address="127.0.0.1")
Ligne 100: Ligne 106:
  
 Pour changer le fichier de destination Pour changer le fichier de destination
-<code c /etc/rsyslog.d/45-rsyslog-server.conf>+ 
 +''/etc/rsyslog.d/45-rsyslog-server.conf'' 
 +<code ->
 $template syslog,"/var/log/clients/%fromhost%/syslog.log" $template syslog,"/var/log/clients/%fromhost%/syslog.log"
 *.* ?syslog *.* ?syslog
Ligne 107: Ligne 115:
 & stop & stop
 </code> </code>
 +
  
 === Conf client === Conf client
  
-<code c /etc/rsyslog.d/20-pushlog.conf>+''/etc/rsyslog.d/20-pushlog.conf'' 
 +<code ->
 $ActionQueueType LinkedList # Exécuter le traitement de façon asynchrone. $ActionQueueType LinkedList # Exécuter le traitement de façon asynchrone.
 $ActionQueueFileName srvrfwd1 # Préfixe de nom unique pour les fichiers spool. Active également le mode disque. $ActionQueueFileName srvrfwd1 # Préfixe de nom unique pour les fichiers spool. Active également le mode disque.
Ligne 127: Ligne 137:
 logger -s "TEST plop" logger -s "TEST plop"
 </code> </code>
 +
  
 == Les filtres == Les filtres
Ligne 138: Ligne 149:
 * Property-based filters * Property-based filters
 * Expression-based filters * Expression-based filters
 +
  
 === Facility/Priority-based filters === Facility/Priority-based filters
Ligne 143: Ligne 155:
 === Property-based filters === Property-based filters
  
-<code c>+<code ->
 :msg, contains, "123: Message for bucket 123" -/var/log/myapp/123.log :msg, contains, "123: Message for bucket 123" -/var/log/myapp/123.log
 </code> </code>
  
-<code c /etc/rsyslog.d/20-ufw.conf>+''/etc/rsyslog.d/20-ufw.conf'' 
 +<code ->
 # Log kernel generated UFW log messages to file # Log kernel generated UFW log messages to file
 :msg,contains,"[UFW " /var/log/ufw.log :msg,contains,"[UFW " /var/log/ufw.log
Ligne 193: Ligne 206:
  
 Utilisation du port UDP 514. Il suffit de dé-commenter ces lignes :  Utilisation du port UDP 514. Il suffit de dé-commenter ces lignes : 
-<code c /etc/rsyslog.conf>+ 
 +''/etc/rsyslog.conf'' 
 +<code ->
 # UDP # UDP
 $ModLoad imudp   $ModLoad imudp  
Ligne 214: Ligne 229:
  
 Sur les clients, à la fin du fichier de conf, nous précisons où envoyer les logs Sur les clients, à la fin du fichier de conf, nous précisons où envoyer les logs
-<code c /etc/rsyslog.conf>+ 
 +''/etc/rsyslog.conf'' 
 +<code ->
 # UDP # UDP
 *.*  @IP_Adress_ou_FQDN:514 *.*  @IP_Adress_ou_FQDN:514
Ligne 224: Ligne 241:
  
 Après le bloc « **RULES** » dans le fichier de configuration du serveur : Après le bloc « **RULES** » dans le fichier de configuration du serveur :
-<code c>+<code ->
 $template syslog,"/var/log/clients/%fromhost%/syslog.log" $template syslog,"/var/log/clients/%fromhost%/syslog.log"
 </code> </code>
  
 On va ensuite appliquer ce template à tous les logs entrants : On va ensuite appliquer ce template à tous les logs entrants :
-<code c>+<code ->
 *.* ?syslog *.* ?syslog
 </code> </code>
Ligne 237: Ligne 254:
 iptables -A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT  iptables -A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT 
 </code> </code>
 +
  
 === Autres  === Autres 
  
-<code c /etc/rsyslog.d/listen.conf>+''/etc/rsyslog.d/listen.conf'' 
 +<code ->
 $SystemLogSocketName /run/systemd/journal/syslog $SystemLogSocketName /run/systemd/journal/syslog
 </code> </code>
  
-<code c /etc/rsyslog.conf>+''/etc/rsyslog.conf'' 
 +<code ->
 #$OmitLocalLogging on #$OmitLocalLogging on
 $OmitLocalLogging off $OmitLocalLogging off
Ligne 259: Ligne 279:
 A tester  A tester 
  
-<code c /etc/rsyslog.conf>+''/etc/rsyslog.conf'' 
 +<code ->
  
 if $msg contains 'pcieport' then /dev/null & stop if $msg contains 'pcieport' then /dev/null & stop
Ligne 267: Ligne 288:
 } }
 </code> </code>
 +
 +
 == Exemple == Exemple
  
-<code c>+<code ->
 $SystemLogRateLimitInterval 5 $SystemLogRateLimitInterval 5
 $SystemLogRateLimitBurst 1200 $SystemLogRateLimitBurst 1200
Ligne 303: Ligne 326:
  
 == Docker et Rsyslog == Docker et Rsyslog
 +
 <code yaml> <code yaml>
 docker-compose        docker-compose       
Ligne 313: Ligne 337:
  
 rsyslog rsyslog
-<code c>+ 
 +<code ->
 $Template CustomFormat,"%timegenerated:1:23:date-rfc3339% %HOSTNAME% %syslogpriority-text% %syslogtag%%msg:::drop-last-lf%\n" $Template CustomFormat,"%timegenerated:1:23:date-rfc3339% %HOSTNAME% %syslogpriority-text% %syslogtag%%msg:::drop-last-lf%\n"
 $ActionFileDefaultTemplate CustomFormat $ActionFileDefaultTemplate CustomFormat
Ligne 338: Ligne 363:
 Remplacer ''$SystemLogRateLimitBurst 2000'' par ''$IMUXSockRateLimitBurst 2000'' Remplacer ''$SystemLogRateLimitBurst 2000'' par ''$IMUXSockRateLimitBurst 2000''
  
-<code c /etc/rsyslog.d/plop.conf>+''/etc/rsyslog.d/plop.conf'' 
 +<code ->
 #$SystemLogRateLimitBurst 2000 #$SystemLogRateLimitBurst 2000
 $IMUXSockRateLimitBurst 2000 $IMUXSockRateLimitBurst 2000
tech/log_syslog_rsyslog.1742825205.txt.gz · Dernière modification : de 127.0.0.1
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki