暁なIT備忘録

AKATSUKI Information Technology Memorandum.

Linux 導入後の初期設定:ログ関連

Tags: , , ,

最後にログの取り扱いです。
RHEL-6.0 から従来の syslog から rsyslog に変更となりました。
他に syslog-ng なども次世代 SYSLOG としてありますので、更に入れ替えてしまうのも有用かと思います。

■ログ保管ポリシー

ログの取り扱いは、
 対障害調査
 対監査基準
 /var のリソース余力状況
など、様々な要因によって、環境毎に異なります。

ここでは、OS 関連のログを対象に
 SYSLOG に rsyslog を利用
 世代管理に logrotate を利用
して、下記項目を踏まえ、デフォルト値からの変更を説明したいと思います。

  • ローテーション期間を「月単位」
  • 保存期間を「 3年間」
  • 保存場所を「同ディレクトリ」
  • 過去世代を「同盟連番付与」
  • 保有状況を「圧縮して保存」

また、上記ローカルディスク上への世代管理に加え、(改竄防止の意味も込めて)ログ管理サーバへの転送による外部記憶媒体への保存も実施します。

■■■■■ ログ関連 ■■■■■

■世代管理の設定変更:logrotate 全体の設定

# rcsdiff /etc/logrotate.conf
===================================================================
RCS file: /etc/RCS/logrotate.conf,v
retrieving revision 1.1
diff -r1.1 /etc/logrotate.conf
3c3,5
< weekly
---
> #weekly
> # rotate log files monthly
> monthly
6c8,10
< rotate 4
---
> #rotate 4
> # keep 3 year worth of backlogs
> rotate 36
22c26
<     monthly
---
>     yearly
25c29
<     rotate 1
---
>     rotate 5
30c34
<     monthly
---
>     yearly
32c36
<     rotate 1
---
>     rotate 5

作業:世代管理の設定変更:logrotate 全体の設定

3c3,5
→ ローテーション期間を「週次」から「月次」へ変更。
 
6c8,10
→ 保存期間を「約 4週間」から「約 3年」へ変更。
※ この値は上記 weekly/monthly などを基準とした回数指定の為、
  セットで考える必要があります。
 
22c26 25c29
→ この箇所は、全体ではなく、/var/log/wtmp 固有の設定箇所です。
  ローテーション期間を「年次」に変更した上で、保存期間を「 5年」としています。
 
30c34 32c36
→ この箇所は、全体ではなく、/var/log/btmp 固有の設定箇所です。
  ローテーション期間を「年次」に変更した上で、保存期間を「 5年」としています。

■世代管理の設定変更:SYSLOG 関連ログの設定

# rcsdiff /etc/logrotate.d/syslog
===================================================================
RCS file: /etc/logrotate.d/RCS/syslog,v
retrieving revision 1.1
diff -r1.1 /etc/logrotate.d/syslog
1c1,4
< /var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/cron {
---
> /var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/cron {
>     monthly
>     rotate 36
>     compress

作業:世代管理の設定変更:SYSLOG 関連ログの設定

1c1,4
→ ローテーション期間と保存期間を全体設定を踏襲から「月次 3年保存」へ変更。
  また、保有状況を「圧縮して保存」と明確に宣言。

■ログ管理サーバへのログ転送設定

下記の SYSLOG 変更に前もって、ログ管理サーバ側の SYSLOG にて、
 リモートからのログ転送を受け付ける
設定をしておく必要があります。
※作業が(ログ管理サーバ側の設定と)前後していても特に問題はありません。

# rcsdiff /etc/rsyslog.conf
===================================================================
RCS file: /etc/RCS/rsyslog.conf,v
retrieving revision 1.1
diff -r1.1 /etc/rsyslog.conf
32a33,35
> ## Logging ALL Message in Syslog
> *.*							@
>

# service rsyslog reload
Reloading system logger...                                 [  OK  ]

作業:ログ管理サーバへのログ転送設定

以上

Tags: , , ,

Leave a Reply

© 2009 暁なIT備忘録. All Rights Reserved.

This blog is powered by the Wordpress platform and beach rentals.