Centralisation des logs avec rsyslog

mardi 19 mai 2015

Salut !

Jusqu'à maintenant, tout allait bien, j'avais 3 machines avec chacune leur syslog bien propre comme je voulais.
C'est à dire que j'ai fait quelques règles dans /etc/rsyslog.d sur les logs qui me gênait comme clamav par exemple.


Puis j'ai décidé de centraliser les logs sur une seule machine.
Je n'ai pas modifié le rsyslog.conf, sur aucune machine si ce n'est ce qui suit.
Sur les machines clientes (les logs remontent sur le serveur), j'ai ajouté ça comme ligne à la fin de /etc/rsyslog.conf :

*.* @192.168.1.5:514

Sur le serveur, j'ai décommenté ces lignes :

$ModLoad imudp
$UDPServerRun 514

et ajouté ça à la fin :

$template syslog,"/var/log/clients/%fromhost%/syslog.log"
*.* ?syslog

J'ai bien 3 fichiers syslog.log dans /var/log/clients comme je le voulais MAIS ces logs sont entiers.
C'est à dire qu'il reprennent tout, le auth.log, le cron.log, etc ...

Je comprends bien que c'est à cause du *.* mais je ne vois pas comment tenir compte de toutes les règles qui sont au dessus dans le template.
Si vous avez une idée.



Centralisation des logs avec rsyslog
Publié par dany à 10:54
Libellés :

0 commentaires:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)
 

Lorem

Ipsum

Dolor