BIG-IPにてRemote-syslogを設定した際に、
受けるsyslogサーバ上で変なログが出続けていたのでこちらをフィルターする方法を紹介したいと思います。
うちで使っているsyslogサーバで下記のようなログが出続けていました。
big-ip.log
Feb 4 03:19:20 xx.xx.xx.xx slot1/BIG-IP info logger: [ssl_req][04/Feb/2015:03:19:20 +0900] 127.0.0.1 TLSv1 AES256-SHA "/iControl/iControlPortal.cgi" 868
Feb 4 03:19:20 xx.xx.xx.xx slot1/BIG-IP info logger: [ssl_acc] 127.0.0.1 - - [04/Feb/2015:03:19:20 +0900] "/iControl/iControlPortal.cgi" 200 882
Feb 4 03:19:20 xx.xx.xx.xx slot1/BIG-IP info logger: [ssl_req][04/Feb/2015:03:19:20 +0900] 127.0.0.1 TLSv1 AES256-SHA "/iControl/iControlPortal.cgi" 882
Feb 4 03:19:20 xx.xx.xx.xx slot1/BIG-IP info logger: [ssl_acc] 127.0.0.1 - - [04/Feb/2015:03:19:20 +0900] "/iControl/iControlPortal.cgi" 200 658
Feb 4 03:19:20 xx.xx.xx.xx slot1/BIG-IP info logger: [ssl_req][04/Feb/2015:03:19:20 +0900] 127.0.0.1 TLSv1 AES256-SHA "/iControl/iControlPortal.cgi" 658
....
....
....
上記ログは内部スクリプトの記述ミスにより出力されているらしく、特に意味が無いようです。
また本事象は ID420295 にて管理されているみたいなのでいつか解消されるはずです。
が、しかし早く止めないとログが汚れるので下記手順によって止めます。
1.tmshに入る
[admin@BIG-IP:Active:In Sync] ~ # tmsh
2.syslogサーバの削除
admin@(BIG-IP)(cfg-sync In Sync)(Active)(/Common)(tmos)# modify /sys syslog remote-servers none
3.設定を保存
admin@(BIG-IP)(cfg-sync In Sync)(Active)(/Common)(tmos)# save sys config
Saving running configuration...
/config/bigip.conf
/config/bigip_base.conf
/config/bigip_user.conf
4.syslog設定にフィルターの適用
admin@(BIG-IP)(cfg-sync In Sync)(Active)(/Common)(tmos)# edit /sys syslog all-properties
modify syslog {
auth-priv-from notice
auth-priv-to emerg
cron-from warning
cron-to emerg
daemon-from notice
daemon-to emerg
description none
include none <==== この部分を変更
iso-date disabled
kern-from notice
kern-to emerg
mail-from notice
mail-to emerg
messages-from notice
messages-to warning
remote-servers none
user-log-from notice
user-log-to emerg
}
5.変更作業(vi風)
'include none'から下記に変更(ダブルクォーテーションまで忘れずにね!)
include "
filter f_ssl_acc_req {
not (facility(local6) and level(info) and match('\\[ssl_acc\\]')) or
not (facility(local6) and level(info) and match('\\[ssl_req\\]'));
};
destination d_remote_loghost {
tcp(\"10.97.1.161\" port(514));
udp(\"10.97.1.161\" port(514));
};
log {
source(s_syslog_pipe);
filter(f_ssl_acc_req);
destination(d_remote_loghost);
};
"
6.テキストエディタを閉じる
:wq
7.プロンプトにて y を押下し、設定を保存。
Save changes? (y/n/e)
8.設定の保存
admin@(BIG-IP)(cfg-sync In Sync)(Active)(/Common)(tmos)# save /sys config
Saving running configuration...
/config/bigip.conf
/config/bigip_base.conf
/config/bigip_user.conf
これで、受けるsyslogサーバには不要ログが来ないはず!
フィルターのかけ方は色々ありそうなので色々試して見てくださいm(_ _)m
以上っす(`・ω・´)ゞ
参考URL
SOL13333: Filtering log messages sent to remote syslog servers (11.x)