syslogによるルータの管理(SuSE編)


おやじが所有しているルータ ( NTT-ME BA8000 Pro / MN8300W ) には syslog 機能があるため、SuSE でもサーバで共通管理できるようにしてみました。
基本的には RedHat の時と何も変わりはありませんが、唯一、syslog でルータからのログを受信するように設定するところが異なります。
ルータで検出した不正アクセスの状況を、グラフ化してみました。

■サーバの設定

以下の設定を、順番に行っていきます。

  1. まず、ログファイルを0バイトの状態で作成しておかなければならないので、他のログと同じように /var/log 配下に router というファイルを作成する。

    # touch /var/log/router

  2. syslog のログ記録内容を全て ( debug、notice、info )とし、上記のファイル名で記録するよう、下記の1行を追加する。infoと/varの間は「Tab」である。

    # vi /etc/syslog.conf
    user.debug;user.notice;user.info /var/log/router 

  3. 次に、YaST でルータからの受信するようにパラメータ(-r)を追加する。具体的には、「YaST」 -> 「システム」 -> 「/etc/sysconfig エディタ」 と開き、 設定オプションの「System」 -> 「Logging」 -> 「SYSLOGD_PARAMS」を選択し、設定欄に「-r」と入力して「完了」を押す。

  4. このままではログが肥大化するので、他のログと同様にrotateするように、/etc/logrotate.d/syslog を編集し、1行目に他のファイルに続けて  /var/log/router ファイル(下記の青字)を追加する。

    # vi /etc/logrotate.d/syslog
    /var/log/warn /var/log/messages /var/log/allmessages /var/log/localmessages /var/log/firewall     /var/log/router {
        compress
        dateext
        maxage 365
        rotate 99
        missingok
        notifempty
        size +4096k
        create 640 root root
        sharedscripts
        postrotate
            /etc/init.d/syslog reload
        endscript
    }

  5. 設定が終わったら、sysylog を下記で再起動し、ルータからの情報を受信できるようにする。

    # /etc/init.d/syslog restart

以上で、サーバ側の設定は終了であり、続いてルータ側の設定を行う。

■ルータの設定

BA8000Pro と MN8300W の設定例を示します。

  1. ルータ(BA8000 Pro)側の設定は、メンテナンス->ログで行う。下記に示すように、ログ方法の「syslog」にチェックマークを入れ、syslogレベルの「info」と「notice」にチェックマークを入れる。「Debug」をチェックすると全てのログを収集するので、ログが膨大になるので、トラブル解析以外ではチェックしないほうが良い。更に、syslogサーバIPアドレスとして、サーバのIPアドレスを入力し設定すれば、完了である。

  2. MN8300W では、詳細設定 -> オプション設定 -> syslog で行う。「syslogサーバ名」にサーバの IP アドレス( DNS が使用できるなら名前でも可) を指定し、「イベントログの通知」は「使用しない」、「セキュリティログの通知」は「使用する」を選択して、「設定」ボタンを押せば完了である。

Top Pageへ