ルータのログをSYSLOGサーバに送ると、
ARPやらNTPやらで埋まってしまい、どうしようもないので、
必要なレベルのものを取るようにします。

＊＊＊＊＊＊＊＊＊追記＊＊＊＊＊＊＊＊＊＊
ちょっと理解が足りない部分がありました
IX2010とSyslogについて
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

ルータによりファシリティなど違うので状況にあわせて
変更して下さい。

ルータ・・・IX2010
SYSLOGサーバ・・・Scientific Linux 6.2
ファシリティ・・・local0
エラーレベル・・・warning
SYSLOGサーバ・・・192.168.100.100

１）IX2010の設定

ファシリティ・・・local0（デフォルト）
SYSLOGサーバ・・・192.168.100.100

IX2010#configure
IX2010(config)#syslog facility local0
IX2010(config)#syslog ip host 192.168.100.100
IX2010(config)#exit
IX2010#write memory

これでこっちは終わりです。

２）SYSLOGサーバの設定

ファシリティ・・・local0
エラーレベル・・・warning

設定しましょう

# vi /etc/rsyslog.conf

# Provides UDP syslog reception
$ModLoad imudp.so
$UDPServerRun 514

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none.local0.none /var/log/messages

#IX2010 Router Log
local0.warning /var/log/ix2010.log

# /etc/init.d/rsyslog restart

・messagesへもルータのログが書き込まれるので「local0.none」を追記
・すべてのログを取りたい場合は、「local0.*」とすればOK。
僕はARPとか要らないので、「warning」としました。

emerg・・・すべてのユーザへ通知
alert・・・システム・データベースが壊れているというような，直ちに修正されるべき状態
crit・・・ハードウェアのデバイス・エラーのような危急の状態の警告
err・・・その他のエラー
warning・・・警告メッセージ
notice・・・エラー状態ではない状態
info・・・情報メッセージ
debug・・・プログラムをデバッグする時に有益な情報
none・・・メッセージを送らな

ログが書き込まれるか確認。
nmapとかすると

# tail -F /var/log/ix2010.log
May 19 14:33:17 192.168.100.1   TCP[002]: Received packet 192.168.100.235(53591) > 192.168.100.1(9877) has no tcp connection
May 19 14:33:17 192.168.100.1   TCP[040]: Sending RESET to host 192.168.100.235
May 19 14:33:17 192.168.100.1   TCP[002]: Received packet 192.168.100.235(53592) > 192.168.100.1(50001) has no tcp connection
May 19 14:33:17 192.168.100.1   TCP[040]: Sending RESET to host 192.168.100.235

などとログが書き込まれます。

[tegaki]まだまだ、勉強が必要です。。[/tegaki]