rsyslogの設定（Linux） | ITインフラ屋さん(本店)

rsyslogdとはシステム関連のログを管理するデーモンで、syslogのパワーアップ版みたいなもの。
主に以下のようなことができる
・ファシリティーとエラーレベルごとにどのファイルに出力させるかを設定できる
・特定のファシリティーとエラーを別のホストに転送させる
（または他のホストから転送されたエラーを受け取ってログに出力させる）
　
【ファシリティーについて】
ログの種別のこと。デフォルトで存在するファシリティーと、ユーザ独自に設定できるファシリティーがある。

キーワード	数値表記	説明
kern	0	カーネル関係
user	1	ユーザ関連
mail	2	メール関連
daemon	3	デーモン関連
auth	4	認証関連
syslog	5	syslog関連
lpr	6	プリンタ関連
news	7	news関連
uucp	8	uucp関連
cron	9	cron関連
authpriv	10	認証関連
ftp	11	ftp関連
	12	NTP関連
	13	ログ監査
	14	ログ警告
	15	クロックデーモン
	16〜23	local0〜local7

※authとauthprivは似ているが出力内容は若干異なる。authprivのほうが推奨されている

【エラーレベルについて】
ログの重要度を示すもの。下記の表で数値が低いものほど重要度が高い。

キーワード	数値表記	説明
emerg	0	緊急
alert	1	警報
crit	2	致命的
err	3	エラー
warning	4	警告
notice	5	注意
info	6	通知
debug	7	デバッグ

※基本的に数値が大きくなるほど出力量が多くなる傾向。
特にdebugは出力量が増えるため、出力先の容量に注意する必要がある。
　
　
【設定例】

*.info;mail.none;authpriv.none;cron.none /var/log/messages

1	*.info;mail.none;authpriv.none;cron.none /var/log/messages

mail,authpriv,cronを除く全てのファシリティーのinfoレベル以上を
/var/log/messagesに出力させる（デフォルト設定）
　

authpriv.* /var/log/secure

1	authpriv.* /var/log/secure

authprivファシリティーの全てのエラーレベルを/var/log/secureに出力させる（デフォルト設定）
　

mail.* -/var/log/maillog

1	mail.* -/var/log/maillog

mailファシリティーを/var/log/maillogに非同期で出力させる（デフォルト設定）

※頭に-をつけることで非同期で出力するようになる。rsyslogの出力は意外と遅いため、大量の出力があるとログへの出力が遅くなる可能性がある。そういう場合は-をつけることでパフォーマンスがよくなることがある。しかし非同期にしておくとシステムがクラッシュするようなエラーの場合に、ログに書き込む前にクラッシュし情報が失われる可能性があるので注意。
　

cron.* /var/log/cron

1	cron.* /var/log/cron

cronファシリティーを/var/log/cronに出力させる（デフォルト設定）
　

*.emerg :omusrmsg:*

1	.emerg :omusrmsg:

全てのファシリティーのemergレベル以上のログを全員のコンソールに出力する
※omusrmsgはコンソールに出力してくれるモジュール
　

uucp,news.crit /var/log/spooler

1	uucp,news.crit /var/log/spooler

uucp,nuewファシリティーのcritレベル以上のログを/var/log/spooleに出力（デフォルト設定）
　
【確認方法】
loggerコマンドを使うことで、特定のファシリティーとエラーレベルに対してテストメッセージを投げて、設定した出力先に出力されるかを確認することができる。
　
logger -p [facility].[priority] [message]

（実行例）logger -p local0.err test