RHEL9 rsyslog の基本的な設定サンプル

環境
Red Hat Enterprise Linux release 9.2 (Plow)

操作方法
1.Rsyslog デフォルトでは、[imjournal] モジュールが設定されています。
これにより ログ管理サービス Journal のデータベースを読み取り、Rsyslog の設定ルールに従って各種ログを保管しています。

# grep imjournal /etc/rsyslog.conf
                          # local messages are retrieved through imjournal now.
module(load="imjournal"             # provides access to the systemd journal
       StateFile="imjournal.state") # File to store the position in the journal

2.Rsyslog のログ保管ルールは [/etc/rsyslog.conf] で設定されています。

# grep -v -E "^#|^$" /etc/rsyslog.conf
global(workDirectory="/var/lib/rsyslog")
module(load="builtin:omfile" Template="RSYSLOG_TraditionalFileFormat")
include(file="/etc/rsyslog.d/*.conf" mode="optional")
module(load="imuxsock"    # provides support for local system logging (e.g. via logger command)
       SysSock.Use="off") # Turn off message reception via local log socket;
                          # local messages are retrieved through imjournal now.
module(load="imjournal"             # provides access to the systemd journal
       StateFile="imjournal.state") # File to store the position in the journal
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log

# * 保管ルールの記述方法 : (ファシリティ).(プライオリティ) (アクション)
#
# ex : *.info;mail.none;authpriv.none;cron.none /var/log/messages
# ⇒ 全ファシリティの [info] プライオリティの [syslog] メッセージを [/var/log/messages] に出力
# ⇒ ただし [mail], [authpriv], [cron] ファシリティの [syslog] メッセージは [/var/log/messages] には出力しない
#
# * 出力ファイル名の先頭の [-] はログの書き込みは非同期で実行されることを意味する
# ファイル名の先頭に [-] を付加しない場合はログの書き込みは同期モードで実行

# * ファシリティの主な種類
# kern : カーネル関連のメッセージ
# auth : 認証関連のメッセージ
# authpriv : 認証関連 (プライベート) のメッセージ
# cron : cron や at 関連のメッセージ
# mail : メールサービス関連のメッセージ
# news : news 関連のメッセージ
# uucp : uucp 関連のメッセージ
# daemon : デーモンプログラム関連のメッセージ
# user : ユーザーレベルのプロセス関連のメッセージ
# lpr : プリンタ関連のメッセージ
# syslog : syslog 内部のメッセージ
# local0 – local7 : カスタムで自由に利用可能

# * プライオリティの種類
# emerg : システム利用不能レベルの問題
# alert : 即時対応が必要なレベルの問題
# crit : 重大なレベルの問題
# err : 一般的なレベルのエラー
# warning : 警告レベルのメッセージ
# notice : 要注意レベルの通知メッセージ
# info : 一般的な情報レベルのメッセージ
# debug : デバッグ情報
# none : 指定なし (出力しない)

# * 通常のルール指定の場合、指定したプライオリティよりも重要度が高いログは全て記録
# 指定したプライオリティのみを記録したい場合は、プライオリティの前に等号を付加
# ex : kern.=crit /dev/console

RHEL9

Posted by arkgame