현재 rsyslog다음과 같이 UDP 소켓과 UNIX 소켓을 수신하고 있습니다.
[root@machine ~]# netstat -ap | grep rsyslog
udp 0 0 0.0.0.0:59018 0.0.0.0:* 268440/rsyslogd
unix 2 [ ] DGRAM 74163705 268440/rsyslogd
[root@machine ~]#
[root@machine ~]#
[root@machine ~]#
[root@machine ~]#
[root@machine ~]# uname -a
Linux machine.abc.com 3.10.0-693.17.1.el7.x86_64 #1 SMP Sun Jan 14 10:36:03 EST 2018 x86_64 x86_64 x86_64 GNU/Linux
[root@machine ~]#
rsyslogd의 UDP syslog 수신에 필요한 구성 변경 사항이 명확하지 않습니다. /etc/rsyslog.conf아래와 같이 변경 사항은 없습니다.
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
authpriv.* @some_remote_machine.abc.com
그 중에는 /etc/rsyslog.d/*.conf다음과 같은 항목이 있습니다.
$SystemLogSocketName /run/systemd/journal/syslog
보안상의 이유로 목표는 rsyslogd에 의한 UDP syslog 수신을 비활성화하는 것입니다.
socket()strace는 시작 시 한 번만 호출된다는 것을 보여줍니다.rsyslogd
socket(AF_LOCAL, SOCK_STREAM|SOCK_CLOEXEC|SOCK_NONBLOCK, 0) = 3
udp와 관련된 세부 사항은 다음과 같습니다.
[root@machine ~]# rsyslogd -d 2>&1|grep -i udp
4078.341962469:main thread : tplAddLine processing template 'RSYSLOG_omudpspoofDfltSourceTpl'
4078.350580740:main thread : Template: Name='RSYSLOG_omudpspoofDfltSourceTpl'
[root@machine ~]# rsyslogd -v
rsyslogd 8.24.0, compiled with:
PLATFORM: x86_64-redhat-linux-gnu
PLATFORM (lsb_release -d):
FEATURE_REGEXP: Yes
GSSAPI Kerberos 5 support: Yes
FEATURE_DEBUG (debug build, slow code): No
32bit Atomic operations supported: Yes
64bit Atomic operations supported: Yes
memory allocator: system default
Runtime Instrumentation (slow code): No
uuid support: Yes
Number of Bits in RainerScript integers: 64
See http://www.rsyslog.com for more information.
[root@machine ~]#
UDP syslog 수신을 비활성화하도록 rsyslog를 어떻게 구성합니까? syslog-ng를 설치했기 때문에...
답변1
imudp 모듈 로딩을 비활성화합니다. 아래 예.
현재 UDP가 사용되고 있는지 확인
# netstat -ap|grep rsyslog
udp 0 0 0.0.0.0:syslog 0.0.0.0:* 17076/rsyslogd
udp6 0 0 [::]:syslog [::]:* 17076/rsyslogd
unix 2 [ ] DGRAM 1074728 17076/rsyslogd
#
구성 파일 확인
# grep -i udp /etc/rsyslog.conf
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
#
UDP를 비활성화하고 rsyslog를 다시 시작하십시오.
# sed -i 's/\$ModLoad imudp/#\$ModLoad imudp/' /etc/rsyslog.conf
# systemctl restart rsyslog
#
지금은 TCP만 사용되는지 확인
# netstat -ap|grep rsyslog
unix 2 [ ] DGRAM 1073845 16982/rsyslogd
#
답변2
rsyslogRHEL 7.5에서 이를 실행하는 데 몇 가지 문제가 있으며 syslog-ng프로세스를 중지하거나 종료하려고 해도 도움이 되지 않습니다. 그래서 나는 그것을 삭제하기로 결정했습니다 rsyslog.