로그 관리 · 10 min read · Dec 12, 2025
rsyslog을 중앙 집중식 로그 관리로 설정하는 방법
이 튜토리얼에서는 rsyslog를 중앙 집중식 로그 관리 서버로 설정하는 방법을 설명합니다. 중앙 집중식 로그 관리는 여러 물리적 또는 가상 서버에서 모든 종류의 로그를 하나의 로그 서버에 수집하여 서버 서비스의 건강과 보안을 모니터링하는 것을 의미합니다. 이 튜토리얼에서는 높은 성능, 뛰어난 보안 및 모듈식 설계를 제공하는 rsyslog를 사용합니다. 또한 MySQL, Oracle, Hadoop 등과 같은 여러 데이터베이스 솔루션에 로그를 저장할 수 있어 더 나은 통합이 가능합니다.
1. 사전 참고
이 튜토리얼에서는 32비트 버전의 Oracle Linux 6.4를 사용합니다. Oracle Linux에서 구성이 이루어지지만, 같은 단계가 CentOS 및 Red Hat OS Linux에서도 작동한다는 점에 유의하시기 바랍니다. 이 튜토리얼에서는 2개의 서버를 사용할 것입니다. 첫 번째 서버는 rsyslog 서버 역할을 하고, 다른 하나는 rsyslog 클라이언트의 워크스테이션/클라이언트 서버 역할을 합니다. 이 튜토리얼이 끝나면 사용자가 클라이언트 서버에 로그인하면 rsyslog 서버가 그의 활동을 자동으로 기록하는 것을 볼 수 있습니다.
2. Rsyslog 설치
설치 단계에서는 rsyslog 패키지와 그 종속성만 설치하면 됩니다. 먼저 운영 체제의 버전을 확인해 보겠습니다.
[root@RSYS01 ~]# cat /etc/issue
Oracle Linux Server release 6.4
Kernel \r on an \m[root@RSYS01 ~]# arch
i686[root@RSYS01 ~]# uname -a
Linux RSYS01 2.6.32-358.el6.i686 #1 SMP Fri Feb 22 13:37:29 PST 2013 i686 i686 i386 GNU/Linux다음으로, yum 유틸리티를 통해 rsyslog 패키지를 설치하기 위해 새로운 저장소를 구성하겠습니다.
[root@RSYS01 ~]# cd /etc/yum.repos.d/
[root@RSYS01 yum.repos.d]# vi rsyslog.repo
[rsyslog-v7-devel]
name=Adiscon Rsyslog v7-devel for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-devel/epel-$releasever/$basearch
enabled=0
gpgcheck=0
protect=1[rsyslog-v7-stable]
name=Adiscon Rsyslog v7-stable for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-stable/epel-$releasever/$basearch
enabled=1
gpgcheck=0
protect=1[root@RSYS01 yum.repos.d]# yum list rsyslog
Loaded plugins: refresh-packagekit, security
rsyslog-v7-stable | 2.5 kB 00:00
rsyslog-v7-stable/primary_db | 188 kB 00:01
Available Packages
rsyslog.i686 7.6.7-1.el6 rsyslog-v7-stable완료되었습니다. 이제 새로운 버전의 rsyslog를 설치하겠습니다. 단계는 아래와 같습니다:
[root@RSYS01 yum.repos.d]# yum install rsyslog -y
Loaded plugins: refresh-packagekit, security
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package rsyslog.i686 0:7.6.7-1.el6 will be installed
--> Processing Dependency: liblogging-stdlog.so.0 for package: rsyslog-7.6.7-1.el6.i686
--> Processing Dependency: libjson-c.so.2 for package: rsyslog-7.6.7-1.el6.i686
--> Processing Dependency: libgthttp.so.0 for package: rsyslog-7.6.7-1.el6.i686
--> Processing Dependency: libgtbase.so.0 for package: rsyslog-7.6.7-1.el6.i686
--> Processing Dependency: libgt for package: rsyslog-7.6.7-1.el6.i686
--> Processing Dependency: libestr.so.0 for package: rsyslog-7.6.7-1.el6.i686
--> Running transaction check
---> Package json-c.i686 0:0.11-3.el6 will be installed
---> Package libestr.i686 0:0.1.9-1.el6 will be installed
---> Package libgt.i686 0:0.3.11-1.el6 will be installed
---> Package liblogging.i686 0:1.0.4-1.el6 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
===============================================================================================================
Package Arch Version Repository Size
===============================================================================================================
Installing:
rsyslog i686 7.6.7-1.el6 rsyslog-v7-stable 920 k
Installing for dependencies:
json-c i686 0.11-3.el6 rsyslog-v7-stable 46 k
libestr i686 0.1.9-1.el6 rsyslog-v7-stable 9.0 k
libgt i686 0.3.11-1.el6 rsyslog-v7-stable 55 k
liblogging i686 1.0.4-1.el6 rsyslog-v7-stable 23 k
Transaction Summary
===============================================================================================================
Install 5 Package(s)
Total download size: 1.0 M
Installed size: 3.2 M
Downloading Packages:
(1/5): json-c-0.11-3.el6.i686.rpm | 46 kB 00:00
(2/5): libestr-0.1.9-1.el6.i686.rpm | 9.0 kB 00:00
(3/5): libgt-0.3.11-1.el6.i686.rpm | 55 kB 00:00
(4/5): liblogging-1.0.4-1.el6.i686.rpm | 23 kB 00:00
(5/5): rsyslog-7.6.7-1.el6.i686.rpm | 920 kB 00:03
---------------------------------------------------------------------------------------------------------------
Total 114 kB/s | 1.0 MB 00:09
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : libgt-0.3.11-1.el6.i686 1/5
Installing : liblogging-1.0.4-1.el6.i686 2/5
Installing : libestr-0.1.9-1.el6.i686 3/5
Installing : json-c-0.11-3.el6.i686 4/5
Installing : rsyslog-7.6.7-1.el6.i686 5/5
Verifying : json-c-0.11-3.el6.i686 1/5
Verifying : libestr-0.1.9-1.el6.i686 2/5
Verifying : liblogging-1.0.4-1.el6.i686 3/5
Verifying : libgt-0.3.11-1.el6.i686 4/5
Verifying : rsyslog-7.6.7-1.el6.i686 5/5
Installed:
rsyslog.i686 0:7.6.7-1.el6
Dependency Installed:
json-c.i686 0:0.11-3.el6 libestr.i686 0:0.1.9-1.el6 libgt.i686 0:0.3.11-1.el6 liblogging.i686 0:1.0.4-1.el6
Complete![root@RSYS01 yum.repos.d]# rsyslogd -v
rsyslogd 7.6.7, compiled with:
FEATURE_REGEXP: Yes
GSSAPI Kerberos 5 support: Yes
FEATURE_DEBUG (debug build, slow code): No
32bit Atomic operations supported: Yes
64bit Atomic operations supported: Yes
Runtime Instrumentation (slow code): No
uuid support: Yes
Number of Bits in RainerScript integers: 64
See http://www.rsyslog.com for more information.[root@RSYS01 ~]# rpm -qa|grep rsyslog
rsyslog-7.6.7-1.el6.i686다음으로, 설치 단계로 진행하겠습니다. 이 튜토리얼에서는 보안을 단순하게 하기 위해 보안 계층을 건너뛰겠습니다. SELINUX를 비활성화하여 진행 중 보안과 관련된 문제가 발생하지 않도록 하겠습니다. 실제 설정에서는 SELinux와 방화벽을 비활성화해서는 안 됩니다. 아래는 단계입니다:
먼저, 현재 SELINUX 정책의 상태를 확인합니다.
[root@RSYS01 ~]# getenforce
Enforcing영구적으로 비활성화하려면 아래 단계를 따르십시오:
[root@RSYS01 ~]# cd /etc/sysconfig/
[root@RSYS01 ~]# vi selinux
# 이 파일은 시스템에서 SELinux의 상태를 제어합니다.
# SELINUX=은 다음 세 가지 값 중 하나를 가질 수 있습니다:
# enforcing - SELinux 보안 정책이 시행됩니다.
# permissive - SELinux가 시행하는 대신 경고를 인쇄합니다.
# disabled - SELinux 정책이 로드되지 않습니다.
SELINUX=disabled
# SELINUXTYPE=은 다음 두 가지 값 중 하나를 가질 수 있습니다:
# targeted - 대상 프로세스가 보호됩니다.
# mls - 다중 수준 보안 보호.
SELINUXTYPE=targeted그 후, 서버와 클라이언트 간의 연결 차단을 피하기 위해 방화벽이 비활성화되었는지 확인합니다.
[root@RSYS01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination[root@RSYS01 ~]# /etc/init.d/iptables stop
iptables: Flushing firewall rules: [ OK ]
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Unloading modules: [ OK ][root@RSYS01 ~]# /etc/init.d/iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination완료되었습니다. 이제 설치 단계가 성공적으로 완료되었습니다. 구성 단계로 넘어가겠습니다.
3. Rsyslog 구성
모든 패키지 종속성이 이미 설치되었으므로 rsyslog의 구성에 집중하겠습니다. 구성 파일에 들어가 아래와 같이 변경합니다:
[root@RSYS01 ~]# vi /etc/rsyslog.conf
module(load="imudp") # 한 번만 수행하면 됩니다.
input(type="imudp" port="514")
$template Auditlog, "/var/log/rsyslog_client/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/rsyslog_client/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.* ?Auditlog아래는 우리가 만든 구성 변경 사항에 대한 설명입니다:
- module(load=”imudp”) # 한 번만 수행하면 됩니다. ==> 서버와 클라이언트 간에 rsyslog 메시지를 수신할 수 있는 기능을 제공합니다.
- input(type=”imudp” port=”514”) ==> rsyslog 서비스에 대해 포트 514를 사용합니다.
- $template Auditlog, “/var/log/rsyslog_client/%HOSTNAME%/%PROGRAMNAME%.log” ==> rsyslog 서버에 연결된 각 클라이언트에 대해 시스템은 자동으로 클라이언트 호스트 이름 폴더와 관련 서비스 파일 이름을 생성합니다.
- $template TmplMsg, “/var/log/rsyslog_client/%HOSTNAME%/%PROGRAMNAME%.log” ==> rsyslog 서버에 연결된 각 클라이언트에 대해 시스템은 자동으로 클라이언트 호스트 이름 폴더와 관련 서비스 파일 이름을 생성합니다.
구성이 완료되면 rsyslog 서비스를 시작하겠습니다.
[root@RSYS01 yum.repos.d]# /etc/init.d/rsyslog restart
Shutting down system logger: [FAILED]
Starting system logger: [ OK ]netstat를 사용하여 rsyslog 서비스가 실행 중인지 확인합니다:
[root@RSYS01 yum.repos.d]# netstat -uanp|grep rsyslog
udp 0 0 0.0.0.0:514 0.0.0.0:* 2430/rsyslogd
udp 0 0 :::514 :::* 2430/rsyslogd위에서 볼 수 있듯이 rsyslog 서비스가 우리가 설정한 포트에서 실행되고 있습니다. 기본적으로 rsyslog는 자신의 서버 접근을 감사합니다. rsyslog 서버를 클라이언트로 간주하기 때문입니다. 작동 여부를 확인하기 위해 /var/log 폴더를 살펴볼 수 있습니다. RSYS01(서버 호스트 이름)이라는 이름의 폴더가 존재하는지 확인해 보겠습니다.
[root@RSYS01 log]# cd /var/log/
[root@RSYS01 log]# ls -l|grep rsyslog
drwx------ 3 root root 4096 Oct 24 18:21 rsyslog_client[root@RSYS01 log]# cd rsyslog_client
[root@RSYS01 rsyslog_client]# ls
RSYS01
[root@RSYS01 rsyslog_client]# cd RSYS01/
[root@RSYS01 RSYS01]# ls
rsyslogd.log좋습니다. 모든 것이 잘 작동하는 것 같습니다! 이제 모든 구성이 예상대로 이루어졌는지 확인하기 위해 테스트 단계로 진행하겠습니다.
4. 테스트 단계
rsyslog 서비스를 실행하는 서버는 클라이언트로도 작동하므로 로컬 로그인 모니터링이 이루어지는지 서버 자체에서 확인할 수 있습니다. 이것이 사실인지 확인하기 위해 SSH 서비스를 사용하여 다른 세션으로 rsyslog 서버에 로그인해 보겠습니다. 이 단계에서는 서버 자체가 이미 비밀번호 없는 구성이 되어 있다고 가정하겠습니다. 아래는 단계입니다:
[root@RSYS01 RSYS01]# ssh root@RSYS01
Last login: Sat Oct 22 15:45:48 2016 from 172.20.181.70[root@RSYS01 ~]# who
root pts/0 2016-10-22 00:21 (172.20.181.11)
root pts/1 2016-10-24 18:22 (127.0.0.1)[root@RSYS01 ~]# exit
logout
Connection to RSYS01 closed.완료되었습니다. 이렇게 간단합니다. 우리는 rsyslog 서버 자체에 로그인한 다음 새 세션이 생성되면 다시 로그인하여 rsyslog 서비스가 세션을 감사했는지 확인합니다. 이제 세션이 감사되었는지 확인하기 위해 로그 디렉토리를 확인해 보겠습니다. 아래는 단계입니다:
[root@RSYS01 ~]# cd var/log/rsyslog_client/RSYS01
[root@RSYS01 RSYS01]# ls
rsyslogd.log sshd.log
[root@RSYS01 RSYS01]# tail -f sshd.log
Oct 24 18:22:46 RSYS01 sshd[2536]: Accepted password for root from 192.168.43.101 port 52862 ssh2
Oct 24 18:22:46 RSYS01 sshd[2536]: pam_unix(sshd:session): session opened for user root by (uid=0)
Oct 24 18:22:50 RSYS01 sshd[2536]: Received disconnect from 192.168.43.101: 11: disconnected by user
Oct 24 18:22:50 RSYS01 sshd[2536]: pam_unix(sshd:session): session closed for user root
^C훌륭합니다. rsyslog 서비스는 세션이 시작될 때 sshd.log 파일을 자동으로 생성했습니다. 로그 파일 안에는 세션 아래에 생성된 시간, 포트 및 사용자에 대한 세부 정보 목록이 있습니다.
이제 모든 것이 예상대로 작동하므로 rsyslog 서버에 의해 감사될 rsyslog 클라이언트를 위한 워크스테이션을 설정하겠습니다. rsyslog 클라이언트의 경우 rsyslog 패키지를 설치하고 rsyslog 서버에 연결하기 위해 구성 파일에서 간단한 변경을 하면 됩니다. 아래는 단계입니다:
[root@CLIENT01 ~]# cd /etc/yum.repos.d/
[root@CLIENT01 yum.repos.d]# yum list rsyslog
Loaded plugins: refresh-packagekit, security
rsyslog-v7-stable | 2.5 kB 00:00
rsyslog-v7-stable/primary_db | 188 kB 00:01
Available Packages
rsyslog.i686 7.6.7-1.el6 rsyslog-v7-stable[root@RSYS01 yum.repos.d]# yum install rsyslog -y
Loaded plugins: refresh-packagekit, security
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package rsyslog.i686 0:7.6.7-1.el6 will be installed
--> Processing Dependency: liblogging-stdlog.so.0 for package: rsyslog-7.6.7-1.el6.i686
--> Processing Dependency: libjson-c.so.2 for package: rsyslog-7.6.7-1.el6.i686
--> Processing Dependency: libgthttp.so.0 for package: rsyslog-7.6.7-1.el6.i686
--> Processing Dependency: libgtbase.so.0 for package: rsyslog-7.6.7-1.el6.i686
--> Processing Dependency: libgt for package: rsyslog-7.6.7-1.el6.i686
--> Processing Dependency: libestr.so.0 for package: rsyslog-7.6.7-1.el6.i686
--> Running transaction check
---> Package json-c.i686 0:0.11-3.el6 will be installed
---> Package libestr.i686 0:0.1.9-1.el6 will be installed
---> Package libgt.i686 0:0.3.11-1.el6 will be installed
---> Package liblogging.i686 0:1.0.4-1.el6 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
===============================================================================================================
Package Arch Version Repository Size
===============================================================================================================
Installing:
rsyslog i686 7.6.7-1.el6 rsyslog-v7-stable 920 k
Installing for dependencies:
json-c i686 0.11-3.el6 rsyslog-v7-stable 46 k
libestr i686 0.1.9-1.el6 rsyslog-v7-stable 9.0 k
libgt i686 0.3.11-1.el6 rsyslog-v7-stable 55 k
liblogging i686 1.0.4-1.el6 rsyslog-v7-stable 23 k
Transaction Summary
===============================================================================================================
Install 5 Package(s)
Total download size: 1.0 M
Installed size: 3.2 M
Downloading Packages:
(1/5): json-c-0.11-3.el6.i686.rpm | 46 kB 00:00
(2/5): libestr-0.1.9-1.el6.i686.rpm | 9.0 kB 00:00
(3/5): libgt-0.3.11-1.el6.i686.rpm | 55 kB 00:00
(4/5): liblogging-1.0.4-1.el6.i686.rpm | 23 kB 00:00
(5/5): rsyslog-7.6.7-1.el6.i686.rpm | 920 kB 00:03
---------------------------------------------------------------------------------------------------------------
Total 114 kB/s | 1.0 MB 00:09
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : libgt-0.3.11-1.el6.i686 1/5
Installing : liblogging-1.0.4-1.el6.i686 2/5
Installing : libestr-0.1.9-1.el6.i686 3/5
Installing : json-c-0.11-3.el6.i686 4/5
Installing : rsyslog-7.6.7-1.el6.i686 5/5
Verifying : json-c-0.11-3.el6.i686 1/5
Verifying : libestr-0.1.9-1.el6.i686 2/5
Verifying : liblogging-1.0.4-1.el6.i686 3/5
Verifying : libgt-0.3.11-1.el6.i686 4/5
Verifying : rsyslog-7.6.7-1.el6.i686 5/5
Installed:
rsyslog.i686 0:7.6.7-1.el6
Dependency Installed:
json-c.i686 0:0.11-3.el6 libestr.i686 0:0.1.9-1.el6 libgt.i686 0:0.3.11-1.el6 liblogging.i686 0:1.0.4-1.el6
Complete!완료되었습니다. 이제 클라이언트 워크스테이션에 rsyslog 패키지를 설치했습니다. 이제 rsyslog 구성 파일 내에서 수정을 하겠습니다. 클라이언트 구성의 경우 아래와 같이 구성을 수정하면 됩니다:
[root@CLIENT01 ~]# vi /etc/rsyslog.conf
*.* @192.168.43.101:514그게 전부입니다. 구성 파일에 포트 514와 함께 IP 192.168.43.101을 포함시켰습니다. 해당 IP는 rsyslog 서버의 IP입니다. 이제 모든 것이 완료되었으므로 클라이언트 워크스테이션에서 rsyslog 서비스를 재시작하여 변경 사항을 로드하겠습니다. 아래는 단계입니다:
[root@CLIENT01 ~]# /etc/init.d/rsyslog restart
Shutting down system logger: [FAILED]
Starting system logger: [ OK ]이제 rsyslog 서버로 돌아가서 rsyslog 로그 디렉토리에 rsyslog 클라이언트 호스트 이름에 대한 폴더가 생성되었는지 확인해 보겠습니다. 아래는 단계입니다:
[root@RSYS01 ~]# cd var/log/rsyslog_client/
[root@RSYS01 rsyslog_client]# ls
RSYS01 CLIENT01훌륭합니다. rsyslog 클라이언트 호스트 이름으로 된 폴더가 자동으로 생성되었음을 확인했습니다. 이는 우리의 구성이 올바르며 rsyslog 클라이언트가 rsyslog 서버에 UDP 연결을 할 수 있음을 확인합니다.
다음 테스트 절차로, 다른 사용자로 rsyslog 클라이언트에 로그인하여 rsyslog 서버가 활동을 캡처할 수 있는지 확인해 보겠습니다. 아래는 단계입니다:
::CLIENT01::
login as: shahril
[email protected]'s password:
Last login: Sun Oct 23 00:21:40 2016 from 172.20.181.11[shahril@CLIENT01 ~]$ who
shahril pts/0 2016-10-24 17:01 (192.168.43.80)[shahril@CLIENT01 ~]$ exit이제 rsyslog 서버의 로그 디렉토리를 확인하여 rsyslog 클라이언트에서 생성된 활동을 기록했는지 확인해 보겠습니다.
[root@RSYS01 ~]# cd var/log/rsyslog_client/
[root@RSYS01 rsyslog_client]# cd CLIENT01/
[root@RSYS01 CLIENT01]# ls
rsyslogd.log sshd.log
[root@RSYS01 CLIENT01]# tail -10 sshd.log
Oct 24 17:01:47 CLIENT01 sshd[2102]: Accepted password for shahril from 192.168.43.80 port 17002 ssh2
Oct 24 17:01:47 CLIENT01 sshd[2102]: pam_unix(sshd:session): session opened for user shahril by (uid=0)좋습니다. 결과는 프로세스가 예상대로 작동함을 보여줍니다. 이제 마지막 테스트로, rsyslog 클라이언트에 다시 로그인하여 패키지를 설치하여 rsyslog 서비스가 세션 생성 외의 다른 활동을 기록할 수 있는지 확인해 보겠습니다. 아래는 단계입니다:
::CLIENT01::
login as: root
[email protected]'s password:
Last login: Sat Oct 22 10:21:40 2016 from 172.20.181.11[root@CLIENT01 ~]# yum install firefox -y
Loaded plugins: refresh-packagekit, security
Repository 'OEL64' is missing name in configuration, using id
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package firefox.i686 0:10.0.12-1.0.1.el6_3 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
================================================================================
Package Arch Version Repository Size
================================================================================
Installing:
firefox i686 10.0.12-1.0.1.el6_3 OEL64 20 M
Transaction Summary
================================================================================
Install 1 Package(s)
Total download size: 20 M
Installed size: 23 M
Downloading Packages:
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : firefox-10.0.12-1.0.1.el6_3.i686 1/1
Verifying : firefox-10.0.12-1.0.1.el6_3.i686 1/1
Installed:
firefox.i686 0:10.0.12-1.el6_3
Complete!위의 내용은 rsyslog 클라이언트 워크스테이션에 firefox 브라우저 설치 프로그램을 성공적으로 설치했음을 보여줍니다. 이제 rsyslog 서버로 돌아가서 rsyslog가 클라이언트 워크스테이션에 타사 패키지를 설치하는 프로세스를 기록할 수 있었는지 확인해 보겠습니다. 아래는 단계입니다:
[root@RSYS01 ~]# cd var/log/rsyslog_client/
[root@RSYS01 CLIENT01]# ls
rsyslogd.log sshd.log yum.log
[root@RSYS01 CLIENT01]# tail -20 yum.log
Oct 25 17:13:17 CLIENT01 yum[2319]: Installed: firefox-10.0.12-1.0.1.el6_3.i686훌륭합니다. rsyslog 서비스는 클라이언트 워크스테이션에서 설치 활동의 정보를 감사하는 데 성공했습니다.
새 게시물을 받은 편지함에서 받기
스팸은 없습니다. 언제든지 구독 해지 가능합니다.