Only work, nothing personal

Потрібно, щоб сервер з CentOS 7 записував журнал з стороннього джерела.   Спочатку потрібно налаштувати rsyslog. У файлі /etc/rsyslog.conf розкоментуємо $ModLoad imudp $UDPServerRun 514 Тобто обираємо протокол UDP з стандартним портом 514   Додаємо у /etc/rsyslog.conf if ($fromhost-ip startswith "X.X.X.1") then { action(type="omfile" file="/var/log/XXX.log") stop } Тобто інформація буде прийматись з визначеної адреси і запис буде вестись у визначений файл, а не у messages.log. Опис параметрів у посиланнях нижче. Потім потрібно відкрити у firewall порт 514 за допомогою команди # firewall-cmd --add-port=514/udp --permanent Тепер можна перезапустити rsyslog та firewall, щоб активувати. # systemctl restart rsyslog # firewall-cmd --reload Після цього потрібно ще налаштувати, щоб файли щодня змінювались. Тобто у /etc/logrotate.d потрібно створити файл ххх і в нього внести /var/log/ХХХ*.log { missingok daily compress

При настройке iptables лучше записывать отброшенные (запрещенные) пакеты в журнал. Для этого нужно в самом конце iptables добавить строки, с помощью команд iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 iptables -A INPUT -j DROP , где параметры для предпоследней строки -m limit: задает наличие правил ограничения. Используется для опции –limit. –limit 5/min: указывает максимальный предел записи в журнал. Например, подобные пакеты будут записываться 5 раз в минуту. Можно задать  2/second, 2/minute, 2/hour, 2/day. Это помогает, если не хотите замусорить журнал повторяющимися сообщениями. -j LOG: определяет, что пакеты направляются в LOG, т.е. записан в журнал. –log-prefix “iptables denied: ” задает префикс в журнале, который будет добавлен в сообщение, которое записывается в /var/log/messages. –log-level 7 задает стандартный уровень для syslog. Уровень 7 это уровень debug. Можно задать число от 0 до 7. 0 это emergency и 7