知っておくとちょっと便利！rsyslog における各パラメータの意味～ルール編～

◆ Live配信スケジュール ◆
サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。
⇒ 詳細スケジュールはこちらから
⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください

【5/21開催】Azure OpenAI ServiceによるRAG実装ガイドを公開しました
生成AIを活用したユースケースで最も一番熱いと言われているRAGの実装ガイドを公開しました。そのガイドの紹介をおこなうイベントです!!
https://tech-lab.connpass.com/event/315703/

今号では、前号に引き続き rsyslog の設定や各パラメータについてご紹介していきます！
今回は、ルール編です。

前号でご紹介した「知っておくとちょっと便利！rsyslog における各パラメータの意味～モジュール・全体の設定編～」もぜひご参照くださいね。

パラメータの使い方～ルール編～

モジュール、全体の設定に続いて、各ファイルをどのように処理するかを定義するルールを設定します。
前回と同様、デフォルトの設定を元に、各パラメータの意味や使い方などをご紹介していきます。

#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 :omusrmsg:*

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log


# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#$ActionQueueFileName fwdRule1 # unique name prefix for spool files
#$ActionQueueMaxDiskSpace 1g   # 1gb space limit (use as much as possible)
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
#$ActionQueueType LinkedList   # run asynchronously
#$ActionResumeRetryCount -1    # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###

ルールは、左側にセレクタ (ファイルへの出力内容)、右側にアクション (対象のファイル)
を指定します。
さらに、セレクタはファシリティとプライオリティという、2つの要素から構成されます。

各ファシリティごとに、どのプライオリティ (重要度) で情報を記録するかを指定することができます。
なの、プライオリティは指定したパラメータ以上の情報を出力するため、例えば info を指定した
場合は emerg ～ info までのすべての情報が対象となります。

ファシリティ	意味
auth	セキュリティ・認証に関する情報
cron	cron のジョブに関する情報
daemon	システムデーモンに関する情報
kern	カーネルに関する情報
mail	メールシステムに関する情報
news	ニュースサービスに関する情報
syslog	syslogd に関する情報
user	ユーザの操作に関する情報
uucp	UUCP 転送に関する情報
local0 ～ local7	ローカルに関する情報

プライオリティ	意味
emerg	システムが停止するレベルの、重大な情報
alert	緊急レベルの情報
crit	重大な情報
err	エラーレベルの情報
warning	警告レベルの情報
notice	通常レベルだが、重要な情報
info	通常レベルの情報
debug	デバッグレベルの情報
none	情報を出力しない

上記の内容を踏まえ、デフォルトの設定を確認すると、それぞれ下記のような設定となります。

*.info;mail.none;authpriv.none;cron.none　　　/var/log/messages
出力されるすべての情報のうち、info レベル以上の情報を /var/log/messages に記録します。
ただし mail、authpriv、cron に関するログのアクションを none とし、記録の対象から除外します。
authpriv.*　　　/var/log/secure
authpriv に分類される、すべての情報を /var/log/secure に記録します。
mail.*　　　-/var/log/maillog
mail に分類される、すべての情報を /var/log/maillog に記録します。
ハイフン(-)が先頭に付いているため、ログは非同期的に記録されます。
cron.*　　　/var/log/cron
cron に分類される、すべての情報を /var/log/cron に記録します。
*.emerg　　　:omusrmsg:*
出力されるすべての情報のうち、info レベルの情報をすべてのログインユーザに表示します。
uucp,news.crit　　　/var/log/spooler
cron に分類されるすべての情報と、news に分類される crit レベル以上の情報を
/var/log/spooler に記録します。
local7.*　　　/var/log/boot.log
local7 に分類される、すべての情報を /var/log/boot.log に記録します。