[시스템] 리눅스 로그 백업 서버 구축하기 -아랑
로그 관리 서버에 대하여…
작성자 : 서진우 (alang@sysmng.com)
——————————————————————————-
호스팅 업체,다수의 서버를 관리하는 업체,혹은 클러스터링 시스템 등..여러대의
서버를 관리하는 곳이라면…별도의 로그 서버를 구축해 두시는 것이 좋습니다.
이유는 효율성과 안정성에 있지요. 즉..한 관리자가 로그를 체크하기 위해서 각
서버마다..일일이 들어가서 체크한다는것은 무지 비 효율적이죠..그리고..시스템
에 이상이 있어서 시스템이 다운될경우…swap 혹은 메모리에 있던 내용들은
모두 사라지기 때문에 다운 당시의 로그 내용을 찾기가 힘들어 집니다. 그러므로
시스템 다운의 원인분석이 힘들어 질때가 많죠..이럴때 원격 로그서버로 로그를
이중관리 하게 되면..실시간으로 로그가 원격 로그서버에 저장 되어지므로…
시스템다운시나 해킹후 로그를 삭제한다고 하더라도..분인 분석 혹은 추적등이
가능합니다..즉..안정스런 관리를 할수 있다는 거죠.
구축엔 별다른 어려움은 없습니다. 먼저 /etc/services 에서 syslogd 가 사용
하는 Port 514/udp 가 열러져 있는지 확인합니다. 원격으로 로그를 전송할때
UDP Port 를 이용하게 되어 있습니다. 이는 로그를 보내는쪽/받는쪽 모두 열
려저 있어야 합니다. 확인을 마쳤다면…보내는쪽과 받는쪽을 나누어서 설명을
하죠..
1. 보내는 쪽..
/etc/syslog.conf 파일을 설정..
————————————————————————–
# Don’t log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
*.info;mail.none;news.none;authpriv.none;cron.none @logserver_name # 추가
authpriv.* /var/log/secure
authpriv.* @logserver_name # 추가
————————————————————————-
보통 위의 추가된 예문 처럼..원격 로그 서버로 보내고 싶은 로그 메세지
설정부분에 @뒤에 원격지 로그서버의 도메인이나 호스트명을 적어 주면된다.
이와 같이 설정하고 syslogd 를 재시작 해준다.
2. 받는 쪽
현재 init script 로 띄워진 syslogd 데몬을 죽이고…다음 방식으로 데몬을
시작한다.
/sbin/syslogd -m 0 -r -h
-m 0 : 기본설정되어있는것으로 변경하지 않아도 됩니다. 이건 지정한 분
동안에 MARK 라고 로그파일에 기록을 합니다. 0 이면 기록을 하지 않는 것
이지요.
-r : 인터넷 도메인 소켓을 이용해 네트웍에서 메시지를 받는 옵션
-h : 기본적으로 syslogd는 원격 호스트에서 받은 메시지를 로그 기록으
로 전송하지 않습니다. 이 옵션을 사용하여 원격 호스트에서 받은 로그파
일을 전송합니다. (전송이란 받은 쪽의 로그 파일에 기록한다고 생각하면
됩니다)