Настройка локального Syslog-сервера

Локальный Syslog-сервер уже сконфигурирован при подготовке операционной системы к инициализации Продукта следующим образом:

• сообщения всех уровней важности от источника local7 от cs_console направляется в файл /var/log/cspvpngate.log

Внимание: сообщения протоколирования для Шлюзов ESR ST направляются в директорию /var/log/syslog/ и имеют имена vpn, vpn.1, vpn.2 и т.д. Просмотреть файл vpn-лога на Шлюзе ESR можно командой:

run stless log:vpn

• сообщения уровня важности err и выше дополнительно направляется в консоль и файл /var/log/error.log
• сообщения всех уровней важности от источника local7 от консоли разграничения доступа направляется в файл /var/log/auth_priv.log
• Syslog-сервер запускается автоматически при каждом старте ОС с включенной возможностью приёма сообщений по UDP порту 514
• при старте ОС, из скрипта (/etc/init.d/start_logwatch) запускается программа logwatch, которая контролирует размер файла лога. Максимально допустимый размер файла установлен в 1024 килобайта. Проверка размера проводится каждые 10 секунд.
  
  При превышении допустимого размера текущий файл лога сохраняется с суффиксом ”.1” после того, как у ранее сохранённых файлов суффиксы меняются с ”.<n>” на ”.<n+1>”. Всего дополнительно к текущему файлу лога сохраняется 2 экземпляра заполненных файлов лога (cspvpngate.log.1, cspvpngate.log.2).  Если <n+1> больше количества сохраняемых экземпляров, файл с суффиксом  ”.<n>” удаляется. После переименования файлов Syslog-серверу посылается сигнал SIGHUP для перехода на свежий файл лога.
• программа logwatch останавливается при остановке системы из скрипта /etc/init.d/start_logwatch.

Перемещать или удалять файл start_logwatch не следует.

В журнале аудита в каждой записи отражается дата и время события, идентификатор события, сообщение, содержащее результат события, уровень важности. В сообщениях, связанных с доступом к шлюзу, вводом команд консоли (cs_console и консоли разграничения доступа), редактированием политики безопасности указывается еще идентификатор администратора (пользователя).

Максимальный возможный занимаемый объем памяти каждого из перечисленных выше файлов на жестком диске составляет 1024 байта.

Данное значение является значением по умолчанию, заданным в конфигурационном файле /etc/default/logwatch параметром LOGSIZE.

При необходимости изменить размер лог-файлов, отредактируйте параметр LOGSIZE в файле /etc/default/logwatch.
Для применения новых настроек необходимо перезапустить сервис logwatch, выполнив команды:

/etc/init.d/logwatch stop

/etc/init.d/logwatch start