이번 내용은 Remote Syslog Server를 구축하는 방법입니다. 요즘은 더욱 강화된 rsyslog를 더 많이 사용하고 있는데, 그 건 다음시간에 다루도록 하겠습니다.
일단 일반 Syslog 서버를 Remote Syslog 서버로 바꾸기 위해서는 아래와 같은 설정이 필요합니다.

Remote Syslog Server
Change configuration file /etc/sysconfig/syslog

# vi /etc/sysconfig/syslog
..
SYSLOGD_OPTIONS="-m 0" => SYSLOGD_OPTIONS="-m 0 -r"
..
:wq!

-r means receiving log data from the other servers.

Restart Syslog daemon

# /etc/init.d/syslog restart or service syslog restart

그리곤, Target이 될 각 Server를 설정하면 됩니다.

Changing configuration file /etc/syslog.conf

# vi /etc/syslog.conf
..
kern.warining;*.err;authpriv.none @syslog
*.info;mail.none;authpriv.none;cron.none @syslog
authpriv.* @syslog
*.emerg @syslog
local7.* @syslog
..
:wq!

@syslog라고 입력을 했는데, 이 경우 /etc/hosts에 syslog의 IP가 정의 되어 있거나 /etc/resolv.conf에 base domain이 정의가 되어 있어야 겠죠.

# vi /etc/hosts
..
192.168.1.10 syslog
..

or

# vi /etc/resolv.conf
search techiess.com
nameserver 192.168.1.1
nameserver 192.168.1.2

그리고, 다시 Restart Syslog daemon 하면 완료가 됩니다.
또한, Log Processing, Parsing tool들을 사용하면 Log를 통합해서 모니터링 할 수 있습니다.

Syslog를 Remote로 전송하는 경우 TCP/UDP 514 Port를 사용하게 되는데 단점이 전송해야하는 Log의 양이 많아지는 경우는 Log의 Lost가 발생 할 수 있습니다.
따라서, Log를 전송해야만 하는 것들만 처리 될 수 있도록 Front Filtering을 고려하면 Network Traffic도 Saving하고 더욱 효율이 좋아질 것 입니다.

Syslog는 일반적으로 사용되는 Log tool인데, rsyslog, syslog-ng 등 좀 더 다양한 기능을 구현 할 수 있는 Log tool도 있습니다.
이런 것들은 다음 시간에 다루도록 하겠습니다.