리눅스 서버로 syslog받기

파오리·2021년 2월 25일
0

아주 작은 기록

목록 보기
8/13

문제 상황: 4개의 보안 장비에 남는 log들이 별도의 리눅스(CentOS7) 서버에 수집되고 있는데, 관련 설정을 어디서 하는지 알고자 함

현재 상황

로그를 받고 있는 서버의 /data/log/remote/ 폴더 내용이다.

이 전 인턴 분이 해놓으신 것을 보면, nac,vpn,nas,utm 장비의 로그가 /data/log/remote 경로의 폴더 속에 저장되고 있었다.

그런데, 들여다 보면
vpn로그는 WI\_SSLVPN/장비 ip\_오늘날짜.log 파일에,
nas로그는 imgbackup/장비 ip\_오늘날짜.log 파일에,
utm로그는 gateway/장비 ip\_오늘날짜.log 파일에 저장되는데,
nac로그만 오늘날짜/장비 ip\_오늘날짜.log 파일에 저장되고 있었다.

하고자 했던 것

그래서 나는 nac도 nac/장비 ip\_오늘날짜.log 파일에다가 저장하고 싶었다. 그래서 이 syslog를 받고 저장하는 설정을 어디서 하는지를 찾게 되었다.

결론

syslog 참고자료

syslog를 받는 CentOS7 서버에서는 /etc/rsyslog.conf 에서 설정을 확인할 수 있다.

# 리눅스 서버

cat /etc/rsyslog.conf

vi /etc/rsyslog/conf

를 보면

/etc/rsyslog.conf 내용 

/etc/rsyslog.conf 내용
# Provides UDP syslog reception 부분과
# Provides TCP syslog reception 부분에서
로그를 받는 프로토콜에 따라 주석을 해제하여 설정을 할 수 있고,
내 파일에서는 tcp를 사용 중인듯 하다. (udp부분은 주석처리 되어 있으므로)
이 설정으로 514 TCP/UDP 포트를 열어서 원격 시스템의 로그를 받을 수 있다.

그리고 바로 밑에 있는
$template FILENAME 이 바로바로 내가 찾아 헤매던 로그가 저장되는 파일 경로이다.

현재 설정 경로: /data/log/remote/%hostname%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log

이걸 보니 다른 장비들은 hostname이 각각 WI_SSLVPN, imgbackup, gateway 인데 nac장비만 hostname이 현재 시간으로 되어있는가 보다.

*참고로 내 컴퓨터의 hostname은 /etc/hostname 파일에 들어있으며, hostname 명령어만 쳐도 확인 가능하다.

그러나 hostname은 nac 장비에서 직접 수정해야 하는 문제 같으므로..
내가 할 수 있는 방법은 없었다고 한다.

profile
경험 == 배움

0개의 댓글