server1의 로그를 server2에서 확인해보자

rsyslog.conf를 통해
server1의 로그를 server2에서 확인할 수 있다!!

rsyslog는 514번 포트를 사용

tcp와 udp 프로토콜 layer4를 사용해서 패킷 메시지를 전달한다

메시지 패킷은 보통 udp 패킷을 통해 전달하나 tcp도 사용하긴 한다

그래서 둘다 포트를 열어줘야한다

server1 설정

firewall-udp.sh
#!/bin/bash
echo 'input service: '
read serv
echo 'input port/protocal[tcp|udp]: '
read port
firewall-cmd --add-service=$serv --permanent firewall-cmd --add-port=$port --permanent --zone=public
firewall-cmd --reload
firewall-cmd --list-all

[tcp][root@server1 /]# ./frirewall-udp.sh
input service:
rsyslog
input port/protocal[tcp|udp]:
514/tcp
Error: INVALID_SERVICE: 'rsyslog' not among existing services
success
success
public (active)
target: default
icmp-block-inversion: no
interfaces: enp0s3 enp0s8
sources:
services: dhcpv6-client http mysql nfs ssh
ports: 80/tcp 23/tcp 3306/tcp 111/tcp 2049/tcp 514/tcp

[udp]
input port/protocal[tcp|udp]:
514/udp
Error: INVALID_SERVICE: '' not among existing services
success
success
public (active)
target: default
icmp-block-inversion: no
interfaces: enp0s3 enp0s8
sources:
services: dhcpv6-client http mysql nfs ssh
ports: 80/tcp 23/tcp 3306/tcp 111/tcp 2049/tcp 514/tcp 514/udp

root@server1 /]# lsof -i tcp:514
위의 명령어를 통해 누가 514 포트를 사용하고 있나 확인할 수 있다
현재는 아무도 없다!

[root@server1 /]# vi /etc/rsyslog.conf

14 # Provides UDP syslog reception  
 15 #$ModLoad imudp
 16 #$UDPServerRun 514
 17
 18 # Provides TCP syslog reception
 19 #$ModLoad imtcp
 20 #$InputTCPServerRun 514

$ModLoad imudp$ModLoad imtcp
TCP/UDP 514번 포트로 로그를 수신할 모듈을 로드한다!
주석들을 삭제!!

맨마지막으로 가서
89 # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
90 #. @@remote-host:514
91 *.* @192.168.56.102:514

91번 줄을 삽입해주면 된다!!
2번 서버에 514번 포트를 통해 메시지를 전달한다는 의미!

저장 후 나와서

[root@server1 /]# systemctl restart rsyslog.service
[root@server1 /]# systemctl status rsyslog.service

Active: active (running) since Fri 2021-07-16 09:35:25 KST; 6s ago

[root@server1 /]# lsof -i tcp:514
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rsyslogd 4466 root 5u IPv4 44006 0t0 TCP :shell (LISTEN)
rsyslogd 4466 root 6u IPv6 44007 0t0 TCP :shell (LISTEN)

rsyslog가 514번 포트를 사용중인 것을 알 수 있다!!

server2 설정
방화벽을 똑같이 설정하고

vi /etc/rsyslog.conf

14 # Provides UDP syslog reception
15 $ModLoad imudp
16 $UDPServerRun 514
17
18 # Provides TCP syslog reception
19 $ModLoad imtcp
20 $InputTCPServerRun 514

1번 서버와 똑같이 설정하면 끝!!

91 *.* @192.168.56.102:514

1번 서버가 2버로 보내는거기 때문에 이거는 2번 서버에 설정할 필요가 없다!!

저장 후 나와서

systemctl restart rsyslog.conf

짜잔

server1에서 로그인 기록을 server2에서 확인할 수 있다!!