Syslog機能を使ったログ管理設定

動作確認バージョン:Brocade 5600vRouter Version4.2R1S1
ここでは、Syslog機能を使ったログ管理に必要な設定を紹介します。
システムが検知したイベントやエラーまたは外的要因の異常などを検知した際に
各種ログが出力されますが、それらの保存に関する設定と
Syslogサーバと呼ばれる装置との連携について紹介いたします。

Syslogメッセージの保存方法

Syslogを保存するための設定をします。

サンプル設定のシナリオ

  • Syslogを装置内部に保存したい。
  • SyslogのレベルをINFOレベルに設定して、より多くのログ取得をしたい
  • すべてのイベントの種別に対して情報を取得したい

CLIにて入力するコマンド

set system syslog global facility all level 'info'
正しく設定が完了したときのコンフィグレーションは次のとおりです。
system {
        syslog {
                global {
                        facility all {
                                level info
                        }
                 }
        }
}

注釈

上記確認しているINFOレベルはより多くの情報を取得できるレベルです。「情報」レベルのものや「クリティカル」な情報も含めて ログを大量に取得することになりますので、Syslog設定時は、Severityのレベルを適切に設定してください。 Severity Levelのデフォルト値は warning です。

動作確認結果

show log コマンドを利用することで、Syslogの内容を確認することができます。
user@FW01:~$ sh log
2017-03-22T07:34:51.810507+00:00 FW01 Keepalived_vrrp[3517]: VRRP_Instance(vyatta-dp0s4-10) sending 0 priority
2017-03-22T07:34:51.810669+00:00 FW01 Keepalived_vrrp[3517]: VRRP_Instance(vyatta-dp0s4-10) removing protocol VIPs.
2017-03-22T07:34:51.843327+00:00 FW01 Keepalived_vrrp[3517]: vmac: Success removing VMAC interface dp0vrrp1 for vrrp_instance vyatta-dp0s4-10
2017-03-22T07:34:51.843573+00:00 FW01 Keepalived_vrrp[3517]: Configuration is using : 58763 Bytes

リモートサーバに転送する設定

Syslog情報を外部のSyslogサーバに転送させてログ管理することが可能です。

サンプル設定のシナリオ

  • すべてのイベントの種別に対して情報を取得したい
  • SyslogのレベルをINFOレベルに設定して、より多くのログ取得をしたい
  • Syslog情報を外部のSyslogサーバ(192.168.3.3)に送信したい
  • Syslogを装置内部にも保存したい

CLIにて入力するコマンド

set system syslog host 192.168.3.3 facility all level 'info'

注釈

上記確認しているINFOレベルはより多くの情報を取得できるレベルです。「情報」レベルのものや「クリティカル」な情報も含めて ログを大量に取得することになりますので、Syslog設定時は、Severityのレベルを適切に設定してください。 Severity Levelのデフォルト値は warning です。

正しく設定が完了したときのコンフィグレーションは次のとおりです。
system {
        syslog {
                global {
                        facility all {
                                level info
                        }
                }
                host 192.168.3.3 {
                        facility all {
                                level info
                        }
                }
        }
}

動作確認結果

Syslogを転送した先のSyslogサーバにログが転送されていることが確認できます。
#Syslogサーバ側のログ確認

 [root@mgmt-centos rsyslog]# tail -F fw01_syslog.log
 Mar 16 13:00:54 FW01 dataplane[2003]: fw rule from_internal:10000 block other(112) src=dp0s4/0:0:5e:0:1:3/172.16.92.179 dst=/1:0:5e:0:0:12/224.0.0.18 len=40 ttl=255
 Mar 16 13:00:54 FW01 dataplane[2003]: fw rule from_internal:10000 block other(112) src=dp0s4/0:0:5e:0:1:3/172.16.92.178 dst=/1:0:5e:0:0:12/224.0.0.18 len=40 ttl=255
 Mar 16 13:00:54 FW01 dataplane[2003]: fw rule from_internal:10000 block other(112) src=dp0s4/0:0:5e:0:1:3/172.16.92.179 dst=/1:0:5e:0:0:12/224.0.0.18 len=40 ttl=255

注釈

Syslogサーバの利用については、お使いの環境に即した形でのアプリケーションや設定をご利用ください。