Diferencia entre revisiones de «Rsyslog»
(Página creada con « Para enviar con certificados esta sería la configuración cliente: <pre> $template boxunix,"<%PRI%>%timegenerated% %HOSTNAME% box.unix.%syslogtag%%msg%" # certificate...») |
|||
| (Una revisión intermedia por el mismo usuario no mostrado) | |||
| Línea 24: | Línea 24: | ||
El fichero de CA para el cliente puede ser la CA en si o se puede especificar una cadena, lo que no se si al poner una cadana coje los dos certificados os solo el primero que encuentra | El fichero de CA para el cliente puede ser la CA en si o se puede especificar una cadena, lo que no se si al poner una cadana coje los dos certificados os solo el primero que encuentra | ||
| − | El orden de los ficheros de configuración que se cargan en el /etc/syslog.d/ es importante, | + | El orden de los ficheros de configuración que se cargan en el /etc/syslog.d/ es importante, ya que las reglas se ejecutan de inicio a fin de rsyslog.conf, y puede habar una regla que haga un '''stop''' y no llegue una log hasta la regla que estamos definiendo. |
| + | |||
| + | Por lo general siempre existe el fichero 50-default.conf que tiene las configuraciones generales. | ||
| + | |||
| + | === Lectura de ficheros === | ||
| + | Si queremos que rsyslog esté a la escucha de un fichero y envie los cambios que lleguen a él, podemos usar una configuracion como esta: | ||
| + | |||
| + | <pre> | ||
| + | # File 1 | ||
| + | $InputFileName /var/log/apt/history.log | ||
| + | $InputFileTag ssm.apt.history: | ||
| + | $InputFileStateFile stat-file-apt-history | ||
| + | $InputFileSeverity info | ||
| + | $InputFileFacility local7 | ||
| + | $InputFilePollInterval 1 | ||
| + | $InputFilePersistStateInterval 1 | ||
| + | $InputRunFileMonitor | ||
| + | </pre> | ||
| + | |||
| + | El parámetro InputFileTag es el texto que aparecerá en la parte donde se pone normalmente el proceso que envía el log | ||
| + | |||
| + | Importante tambien es el parámetro InputFileStateFile, que es el ficheor que se generará (por defecto en /var/spool/rsyslog definido en el parámetro WorkDirectory del fichero /etc/rsyslog.conf) donde estará el puntero indicando en que parte del fichero estamos para después continuar | ||
| + | |||
| + | El parámetro InputFilePollInterval también es importante, tiene que estar a 1, y sirve para decir que este fileMonitor va a estar activo | ||
| + | |||
| + | El parámetro InputFilePollInterval por defecto es 10 y son el numero de segundos tras el cual vuelve a revisar los cambios en ese fichero. | ||
Última revisión de 14:44 27 mar 2015
Para enviar con certificados esta sería la configuración cliente:
$template boxunix,"<%PRI%>%timegenerated% %HOSTNAME% box.unix.%syslogtag%%msg%" # certificate files - just CA for a client $DefaultNetstreamDriverCAFile /etc/rsyslog.d/ca.crt $DefaultNetstreamDriverCertFile /etc/rsyslog.d/ardemans.crt # User public key $DefaultNetstreamDriverKeyFile /etc/rsyslog.d/ardemans.key # User private key # set up the action $DefaultNetstreamDriver gtls # use gtls netstream driver $ActionSendStreamDriverMode 1 # require TLS for the connection $ActionSendStreamDriverAuthMode x509/name # server is NOT authenticated $ActionSendStreamDriverPermittedPeer collector *.* @@eu.public.relay.logtrust.net:8770;boxunix
Algunos problemas que he encontrado, los ficheros de certificados han de poder ser leidos por el usuario que arranca el servicio rsyslog, generalmente el usuario syslog
El fichero de CA para el cliente puede ser la CA en si o se puede especificar una cadena, lo que no se si al poner una cadana coje los dos certificados os solo el primero que encuentra
El orden de los ficheros de configuración que se cargan en el /etc/syslog.d/ es importante, ya que las reglas se ejecutan de inicio a fin de rsyslog.conf, y puede habar una regla que haga un stop y no llegue una log hasta la regla que estamos definiendo.
Por lo general siempre existe el fichero 50-default.conf que tiene las configuraciones generales.
Lectura de ficheros
Si queremos que rsyslog esté a la escucha de un fichero y envie los cambios que lleguen a él, podemos usar una configuracion como esta:
# File 1 $InputFileName /var/log/apt/history.log $InputFileTag ssm.apt.history: $InputFileStateFile stat-file-apt-history $InputFileSeverity info $InputFileFacility local7 $InputFilePollInterval 1 $InputFilePersistStateInterval 1 $InputRunFileMonitor
El parámetro InputFileTag es el texto que aparecerá en la parte donde se pone normalmente el proceso que envía el log
Importante tambien es el parámetro InputFileStateFile, que es el ficheor que se generará (por defecto en /var/spool/rsyslog definido en el parámetro WorkDirectory del fichero /etc/rsyslog.conf) donde estará el puntero indicando en que parte del fichero estamos para después continuar
El parámetro InputFilePollInterval también es importante, tiene que estar a 1, y sirve para decir que este fileMonitor va a estar activo
El parámetro InputFilePollInterval por defecto es 10 y son el numero de segundos tras el cual vuelve a revisar los cambios en ese fichero.
