仕事と家事の狭間に

■ all.logの設定

すべてのログをまとめて記憶するファイルを作っておくと、何か起こったときに検索漏れを気にせずに済み便利である。また、モニタに出力されるログをファイルに落としておくと、遠隔地からメンテナンスしている際に閲覧できる。それには次のようにする。

まずログファイルを作って，パーミッションを設定しておく。
# touch /var/log/all.log
# chmod 600 /var/log/all.log
# touch /var/log/console.log
# chmod 600 /var/log/console.log

/etc/syslog.conf に次のような記述があるので，
2箇所コメントアウトを解除する．
# uncomment this to log all writes to /dev/console to /var/log/console.log
console.info /var/log/console.log
# uncomment this to enable logging of all log messages to /var/log/all.log
# touch /var/log/all.log and chmod it to mode 600 before it will work
*.* /var/log/all.log

変更を反映するために，syslogd に SIGHUPを送る
# cat /var/run/syslog.pid | xargs kill -HUP

これで、ログが該当ファイルに出力されるようになる。
また、/etc/newsyslog.conf には次のような項目が既に準備されており，all.log ならば7日分が保存されるようになっている．
# logfilename [owner:group] mode count size when flags
/var/log/all.log 600 7 * @T00 J
/var/log/console.log 600 5 100 * J

■ ルータのログの蓄積

ブロードバンドルータは動作ログとセキュリティログを保持し、それらを管理画面から閲覧することができる。しかし、保持できるログの量が少ないこと、再起動により失われてしまうことが問題であり、肝心な場面で閲覧できないこともある。そこで、ブロードバンドルータからサーバへログの転送設定をしておく。

ルータ側の設定は、ルータにもよるが、syslogサーバのIPアドレスを指定すればよい。
MN8300ではsyslogサーバのIPアドレスを指定し、転送するログの種別を選択する。また、ルータのログ通知機能を活用するため、不正アクセス検知を「使用する」に変更し、TCP SYN FLOODを「100」パケット／分（程度）に変更しておくといいだろう。

サーバ側の設定は次のようにする。

まず、/etc/hosts にルータのアドレスとホスト名を加えておく。ここでは、mn8300がルータのホスト名となる。GapNATを使っている場合は、デフォルトゲートウェイのアドレスがルータのアドレスである。
219.119.86.5 mn8300.toshikazu.org mn8300

次に、syslogがネットワークの特定のアドレスから受け取るログを保存するように設定変更する。
/etc/rc.conf に次の1行を加える。
syslogd_flags="-a 219.119.86.5/32" # Flags to syslogd (if enabled).

ここで、syslogを再起動すればall.logとmessage.logにルータのログを蓄積されるようになる。しかし、ルータのログが混在すると見づらくなるので、次のように分けることもできる。
/etc/syslog.confの先頭に次の2行を加える。これで、ルータの分を取り除く。
# except host 'mn8300'
-mn8300
/etc/syslog.confの最後に次の4行を加える。これで、ルータの分を記憶する。
# any program, host 'mn8300'
!*
+mn8300
*.* /var/log/mn8300.log
そして、次のコマンドを実行して、ログファイルの作成と設定ファイルの再読み込みを行う。
# touch /var/log/mn8300.log
# cat /var/run/syslog.pid | xargs kill -HUP　（起動オプションの変更には不十分）
また、/etc/newsyslog.confを他の項目に習って設定し、保存するログの量を決めておくとよい。
/var/log/mn8300.log 644 7 * @T00 J