로그서버 만들기 (RedHat)
로그서버 구축 및 운영 : 로그기록을 원격서버에 실시간으로 저장.
1. 로그서버구성도 및 로그서버구현 개론
(A, B, C, D)서버 —-(인터넷외부)—> 로그 서버
-보안을 위해 되도록 서비스 서버와 다른망을 이용할 수 있도록 한다.
2. 대상 서버들 내부 작업 내용 (A, B, C, D 서버 동일 설정)
– /etc/hosts, /etc/syslog.conf, /etc/rc.d/init.d/syslog restart
1단계 : 로그서버 IP와 호스트명 지정
[root@oss ~]# cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 oss.co.kr localhost
203.231.14.101 loghost
2단계 : /etc/syslog.conf
[root@oss ~]# cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Dont log private authentication messages!
*.infomail.noneauthpriv.nonecron.none /var/log/messages
*.infomail.noneauthpriv.nonecron.none @loghost
# The authpriv file has restricted access.
authpriv.* /var/log/secure
authpriv.* @loghost
3단계 : service syslog restart (또는 /etc/rc.d/init.d/syslog restart)
[root@oss ~]# service syslog restart
Shutting down kernel logger: [ OK ]
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
Starting kernel logger: [ OK ]
3. 로그 서버 내부의 작업 내용
1 단계 : /etc/hosts 파일에 대상 서버들의 IP와 호스트명 설정
2 단계 : syslogd 데몬을 내리고 -r 옵션을 사용하여 재시작 (-r 옵션은 원격지에서 들어오는 로그들을 받아들여서 기록하도록 하는 옵션)
[root@oss ~]# ps -ef | grep syslog
root 25937 1 0 22:38 ? 00:00:00 syslogd -m 0
root 25961 25325 0 22:42 pts/3 00:00:00 grep syslog
[root@oss ~]# kill -9 25937
[root@oss ~]# /sbin/syslogd -r -m 0
[root@oss ~]# ps -ef | grep syslog
root 25965 1 0 22:42 ? 00:00:00 /sbin/syslogd -r -m 0
root 25967 25325 0 22:43 pts/3 00:00:00 grep syslog
재부팅 후에도 -r 옵션을 유지하기 위해서 /etc/sysconfig/syslog 파일의 SYSLOGD_OPTIONS에 -r 옵션을 추가한다.
[root@oss ~]# grep SYSLOGD /etc/sysconfig/syslog
SYSLOGD_OPTIONS=”-m 0″
[root@oss ~]# grep SYSLOGD /etc/sysconfig/syslog
SYSLOGD_OPTIONS=”-m -r 0″
