ルータのログをSYSLOGサーバに送ると、
ARPやらNTPやらで埋まってしまい、どうしようもないので、
必要なレベルのものを取るようにします。
*********追記**********
ちょっと理解が足りない部分がありました
IX2010とSyslogについて
*********************
ルータによりファシリティなど違うので状況にあわせて
変更して下さい。
ルータ・・・IX2010
SYSLOGサーバ・・・Scientific Linux 6.2
ファシリティ・・・local0
エラーレベル・・・warning
SYSLOGサーバ・・・192.168.100.100
1)IX2010の設定
ファシリティ・・・local0(デフォルト)
SYSLOGサーバ・・・192.168.100.100
IX2010#configure IX2010(config)#syslog facility local0 IX2010(config)#syslog ip host 192.168.100.100 IX2010(config)#exit IX2010#write memory
これでこっちは終わりです。
2)SYSLOGサーバの設定
ファシリティ・・・local0
エラーレベル・・・warning
設定しましょう
# vi /etc/rsyslog.conf # Provides UDP syslog reception $ModLoad imudp.so $UDPServerRun 514 # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none.local0.none /var/log/messages #IX2010 Router Log local0.warning /var/log/ix2010.log # /etc/init.d/rsyslog restart
・messagesへもルータのログが書き込まれるので「local0.none」を追記
・すべてのログを取りたい場合は、「local0.*」とすればOK。
僕はARPとか要らないので、「warning」としました。
emerg・・・すべてのユーザへ通知
alert・・・システム・データベースが壊れているというような,直ちに修正されるべき状態
crit・・・ハードウェアのデバイス・エラーのような危急の状態の警告
err・・・その他のエラー
warning・・・警告メッセージ
notice・・・エラー状態ではない状態
info・・・情報メッセージ
debug・・・プログラムをデバッグする時に有益な情報
none・・・メッセージを送らな
ログが書き込まれるか確認。
nmapとかすると
# tail -F /var/log/ix2010.log May 19 14:33:17 192.168.100.1 TCP[002]: Received packet 192.168.100.235(53591) > 192.168.100.1(9877) has no tcp connection May 19 14:33:17 192.168.100.1 TCP[040]: Sending RESET to host 192.168.100.235 May 19 14:33:17 192.168.100.1 TCP[002]: Received packet 192.168.100.235(53592) > 192.168.100.1(50001) has no tcp connection May 19 14:33:17 192.168.100.1 TCP[040]: Sending RESET to host 192.168.100.235
などとログが書き込まれます。
[tegaki]まだまだ、勉強が必要です。。[/tegaki]