rsyslog에서 TCP로 전송

개시하다
이 글은 rsyslog의 로그 전송 TCP를 기록합니다.
rsyslog의 TLS(Secure Surgent) 기반 보안 송수신에 관한 글입니다.
인증 환경은 CentOS 8 및 Ubuntu(18.04)입니다.

Syslog 전송 측면(클라이언트): 중앙 OS(rsyslog version 8.37.0)

syslog 수신 측면(서버): Ubuntu(rsyslog version 8.32.0)

수신자 설정(서버)
수신자 Ubuntu의 rsyslog를 설정합니다.

$ sudo nano /etc/rsyslog.conf

module(load="imtcp")
input(type="imtcp" port="514")

TCP를 통해 수신하기 위해 "imtcp"라는 모듈을 읽습니다. input에서 사용할 수 있습니다.포트 기본값은 514입니다.(메모만 삭제)

이전 설정 시
이쪽 설정도 받아들일 수 있지만 지금은 선택의 여지가 없다.
2020년 04월 01일 추서:
이 오래된 설정은 obsolete legacy이기 때문에 사용하지 않는 것을 추천합니다.
자세한 내용은 이쪽을 보세요.
Configuration Formats
https://www.rsyslog.com/doc/v8-stable/configuration/conf_formats.html

$ModLoad imtcp
$InputTCPServerRun 514

설정을 저장한 후 rsyslog 서비스를 다시 시작합니다.

$ sudo systemctl restart rsyslog.service

다시 시동을 걸고 문제가 없는지 확인하세요.

$ sudo systemctl status rsyslog.service

전송 측면(클라이언트) 설정
전송 측면의 CentOS에 대한 rsyslog를 설정합니다.

$ sudo nano /etc/rsyslog.conf

*.* 모든 로그를 라우팅 객체로 사용합니다.점[.]의 전면은 Facility(시리즈), 후면은 Severity(엄격성)라고 하는데, 전송 대상을 제한하려면 적절하게 설정하십시오.
수신측의 IP 또는 호스트 이름에 두 개의 @@@을 더하여 TCP 전송하나는 UDP 전송입니다.
포트 번호를 변경할 때: (콜론) 설정을 사용할 수 있습니다.

*.*    @@[受信側のIPアドレスやホスト名]
*.*    @@[受信側のIPアドレスやホスト名]:[ポート番号]

인증 환경에서 Ubuntu의 IP는 192.168.0.13 기본 포트 번호이므로 다음과 같이 설정합니다.

설정을 저장한 후 rsyslog 서비스를 다시 시작합니다.

$ sudo systemctl restart rsyslog.service

Syslog 전송 성공 확인
발송 측에서 로그를 생성하여 순조롭게 전송하는 것을 확인합니다.
발송자

$ logger Hello

Ubuntu의 경우 기본값은/var/log/systlog에 로그를 저장하는 설정입니다. 확인하십시오.
수신자

$ tail /var/log/syslog | grep Hello

잘 전달되는지 확인하면 성공.
기본 Ubuntu 로그는/var/log/systlog에 저장됩니다. rsyslog의 config 파일 '50-default. conf' 에 그 설정이 있기 때문입니다.또한 CentOS에서/var/log/messages도 rsyslog로 설정되어 있습니다.
전송 로그를 확인할 수 없을 때 이쪽 설정을 확인하세요.


안전 대책이 필요하다
지금은 로그를 전송하는 상태이기 때문에 경로에 있는 패킷만 보면 내용을 확인할 수 있다.이것은 좋지 않은 상황이다.

다음은 암호화하고 싶습니다.
참고 자료
Syslog 정보.법률/엄격성/프라이버시 차이
　 https://turningp.jp/network_and_security/syslog-introduction
Configuration Formats
　 https://www.rsyslog.com/doc/v8stable/configuration/conf_formats.html