Syslog

Syslog는 Linux에 공통되는 이벤트 로깅 프로토콜입니다. 

Linux 디바이스 및 어플라이언스 기본 제공되는 Syslog 디먼을 사용하여 지정한 형식의 로컬 이벤트를 수집할 수 있습니다. 수집 후에, 해당 이벤트를 Log analytics 작업 영역으로 보낼 수 있습니다. 

애플리케이션은 로컬 컴퓨터에 저장되거나 Syslog 수집기에 배달될 수 있는 메시지를 전송합니다.

 

Linux 용 Azure Monitor 에이전트가 설치되면 Syslog 컬렉션이 DCR에서 사용하도록 설정된 경우, 에이전트에 메시지를 전달하도록 로컬 Syslog 디먼을 구성합니다. 

그런 다음 Azure monitor에이전트는 해당 Syslog 레코드가 Syslog 테이블에 만들어지는 Azure monitor 또는 Log Analytics 작업영역으로 메시지를 보냅니다.

Syslog 수집기에서 지원되는 기능

facility : 로그 생성 서비스

• * : 모든 서비스
• auth : 원격 서비스 접속 기록
• authpriv : su 명령어의 사용 기록 및 로그인 성공 실패 여부의 기록
• cron : cron 데몬과 atd 데몬에 의해 발생되는 메시지
• daemon : telnet, ftp 등과 같은 데몬에 의한 메시지
• mark 
• kern : kernel에 의한 메시지
• lpr : 프린트 데몬인 lpd에 의해 발생되는 메시지
• mail : sendmail,pop,qmail 등의 메일 시스템에서 발생되는 메시지
• news : USENET 등과 같은 뉴스시스템에 의해 발생되는 메시지
• syslog : syslogd 에 의해 발생되는 메시지
• user : 사용자에 의해 발생되는 메시지
• uucp : 원격 명령실행, 파일 전송, 이메일, 컴퓨터간 네트뉴스 등을 가능하게 하는 컴퓨터 프로그램과 프로토콜 스위트 또는 세트
• local0-local7 : 시스템 부팅 메시지 기록, 기타 여분 서비스에 사용하기 위함

Level : 로그 수준

Azure Portal에서 syslog 구성

최소 로그 수준 설정 

ex) info로 설정하면 info 부터 emerg까지 다 기록됨 (debug 기록 안됨)