ルータの syslog 情報を半永久的に残したい！

今回は YAMAHA RTX-1210 での話ですがそんなことってありませんか？いや、あんまり無いですよね。笑

とはいえ、どこかに需要があるかもしれない・・・・ということで作業備忘録的に残します。

実際にやることはそんなに多くない

一応、下記のサイトに各機器の保存件数の目安が記載されておりますが、10,000行は即消えてしまうレベルですよね、きっと。

FAQ for YAMAHA RT Series / Syslog

第一にルータ側の設定を

［管理］タブ➡［保守　SYSLOGの管理］➡［設定］に入ります。遷移したページではログレベルと宛先アドレス（複数OK）を入力しますが、ログレベルは要件にもよります。特に DEBUG は障害時向けのログレベルなので特段のことがなければ INFO と NOTICE だけで問題ないかと思います。（何かルータで不具合ぽいものを検知した場合は DEBUG に変更するくらい・・・・のノリで）

第二に Linux サーバ側の設定を　その1

サーバのOSの前提は CentOS 7.6 とします。「/etc/rsyslog.conf」にて下記の2点を追記・修正（コメント外し等）して下さい。

コメント外し

# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

追記

# Add Allow IP Address
$AllowedSender UDP, 127.0.0.1, 192.168.x.x # UDP
$AllowedSender TCP, 127.0.0.1, 192.168.x.x # TCP

＊「192.168.x.x」は RTX-1210 のIPを指定して下さい
＊完了後には rsyslog のサービス再起動を

第三に Linux サーバ側の設定を　その2

firewalld または iptables にて必要なポートを開放します。下記は iptables での例です。

# syslog
-A INPUT -p tcp -m state --state NEW -m tcp --dport 514 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 514 -j ACCEPT

＊完了後には iptables のサービス再起動を

以上で終了です！

完了すると？

以下のような感じで出力されます。

Sep  7 19:59:19 rtx1210.localnet PP[01] Rejected at IN(default) filter: TCP xxx.xxx.xx.xx:4xxx0 > xxx.xxx.xxx.xxx:1xxx3
Sep  7 19:59:20 rtx1210.localnet [INSPECT] PP[01][out][200098] TCP xxx.xxx.x.xx:xxx88 > xxx.xxx.xxx.xxx:1xxx2 (2019/09/07 19:59:14)
Sep  7 19:59:20 rtx1210.localnet [INSPECT] PP[01][out][200082] TCP xxx.xxx.x.xxx:x3xx3 > xx.xxx.xx.xxx:xx3 (2019/09/07 19:59:10)
Sep  7 19:59:20 rtx1210.localnet [INSPECT] PP[01][out][200098] TCP xxx.xxx.x.xx:xx19x > xxx.xxx.xxx.xxx:xxx22 (2019/09/07 19:59:15)
Sep  7 19:59:21 rtx1210.localnet [INSPECT] PP[01][out][200098] TCP xxx.xxx.x.xx:5xxx2 > xxx.xxx.xxx.xxx:xxx22 (2019/09/07 19:59:15)

＊IPおよびポートは一部伏せ字にしております