So-net無料ブログ作成
スポンサードリンク

Apacheのログをsyslogサーバへ転送する方法 [Webサーバ]

Apacheのログをsyslogサーバへ転送するには、一度Apacheを起動しているサーバのsyslogへ転送して、そこから別サーバのsyslogへ転送する。
Webサーバの場合は、access.logerror.logssl_access.logssl_error.logの4ファイルが対象となる。

access.logとerror.logは以下のファイルを修正する。
既存に有る該当の設定は削除かコメントアウトする。
syslogのfacility設定はお好みで。
# vi /etc/httpd/conf/httpd.conf
CustomLog "|/usr/bin/logger -p local.0.info -t httpd_access" combined
ErrorLog "|/usr/bin/logger -p local.1.info -t error"

ssl_access.logとssl_error.logは以下のファイルを修正する。
# vi /etc/httpd/conf.d/ssl.conf
TransferLog "|/usr/bin/logger -p local.2.info -t ssl_access"
ErrorLog "|/usr/bin/logger -p local.3.info -t ssl_error"

あとsyslog設定ファイルに追加する。
# vi /etc/rsyslog.conf
local0.* @192.168.100.100
local1.* @192.168.100.100
local2.* @192.168.100.100
local3.* @192.168.100.100

ローカルにも保存したい場合は以下も追加する。
local0.* /var/log/httpd/access.log
local1.* /var/log/httpd/error.log
local2.* /var/log/httpd/ssl_access.log
local3.* /var/log/httpd/ssl_error.log

後はsyslogとhttpdを再起動するのと、syslogサーバの受信設定が完了していれば、
syslogサーバへログが転送される。

再起動CentOS7の場合
# systemctl restart rsyslog
# systemctl restart httpd

再起動CentOS6の場合
# service rsyslog restart
# service httpd restart

再起動したあとは、syslgoサーバのログを確認する。


CentOSをProxy配下で使用する時のメモ。 [Linux]

自宅ネットワークなど、好き勝手に出来るネットワーク環境で有れば、問題は無いのですが、会社のネットワークなどはproxy経由でないとインターネット環境へ接続が出来ないので、OSのダウンロードや各パッケージのインストールなどをproxy経由でするためのメモ。

・yum
パッケージ管理でyumを使うと便利なので、インターネット環境が無いとかなり不便。
proxy経由で接続する場合は、
# vi /etc/yum.conf
[main]カテゴリー内に
proxy=http://proxy-sever-address:port番号
を入れればOK

・wget
ファイルのダウンロードをする時にあると便利。
ユーザ毎に利用したい場合は
$ vi ~/.wgetrc
http_proxy=http://proxy-sever-address:port番号/

全ユーザで利用したい場合は
# vi /etc/wgetrc
https_proxy = http://proxy-sever-address:port番号/
http_proxy = http://proxy-sever-address:port番号/
ftp_proxy = http://proxy-sever-address:port番号/
を設定すれば、wgetでファイルをダウンロード出来る。

・curl
Webサイトの表示にも使えるけど、ファイルのダウンロードでも使えるので便利。
コマンドで、
curl -L --proxy http://proxy-sever-address:port番号 http://downloadsite -o Filename
で、ファイルをダウンロード出来る。
回数が多いと手間ですが、wgetの設定をするのが手間な時には便利。
・npm
サーバーサイドJavascriptで利用しますね。こちらもインターネットが無いと不便です。
# npn -g config set proxy http://proxy-sever-address:port番号
# npn -g config set https-proxy http://proxy-sever-address:port番号
# npn -g config set registry http://registry.npmjs.org/
で使用できるようになる。

・node.jsのバージョン管理
# vi ~/.bashrc

export http:_proxy=http:///proxy-sever-address:port番号
export https:_proxy=http:///proxy-sever-address:port番号
を設定すれば使用可能になる。

・GNOMEデスクトップ
メニューの「Applications」から「System Tools」→「Settings」を起動
Networkで、MethodをManualへ変更し、各項目にProxyサーバアドレスとポート番号を
入れれば利用可能。
ブラウザだけ利用したい場合は、FirefoxProxy設定だけでOK

他にも有れば気づき次第追記する。

CentOS7でDRBDをインストールしたメモ [Linux]

ハードディスクの冗長化RAIDが有りますが、DRBD (Distributed Replicated Block Device) はネット上でハードディスクの冗長化が出来るということで、インストールしてみたときのメモ。
感覚的には、ネットワーク上でRAID1を組む感じですが、RAID1みたいにディスク全体を冗長化させるのではなく、ブロックデバイス単位で設定することができます。
インストールする時の注意点は、冗長化させるパーティションを用意することです。
OSインストール時のパーティション設定で、/など一つに纏めると後が手間なので、空き領域を残すか、/drbdなど、とりあえずで作成することも可能。
設定は冗長化する2台とも同じ作業をします。
ディスクの冗長化で、ネットワークトラフィックがかなり多いので、専用のネットワークI/Fとネットワークが有ったほうが良い。

DRBDはCentOSの標準リポジトリには無いので、ELRepoのリポジトリを追加してインストール。
# http://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm
# yum install drbd84* kmod-drbd84*

DRBDを設定するパーティションを設定
※OSインストール時に/drbdでパーティションを作成していた場合。
/drbdの設定を確認
# lvscan
対象ドライブをアンマウント
# umount /drbd
対象のパーティションを削除
# lvremove /dev/cl/drbd
パーティションの再設定
# lvcreate --name drbd0 --size xxGiB cl

DRBDの設定変更
# vi /etc/drbd.d/global_common.conf
※disk { の直下に on-io-error detach; を追加
リソース設定
# vi /etc/drbd.d/r0.res
resource r0 {
protocol C;
   device /dev/drbd0;
meta-disk internal;
on host-a {
address 192.168.0.1:7788;
disk /dev/cl/drbd0;
}
on host-b {
address 192.168.0.2:7788;
disk /dev/cl/drbd0;
}
}

DRBDモジュールのロード
# modprobe drbd
# lsmod | grep drbd

メタデータの作成
# drbdadm create-md r0

DRBD起動
# systemctl start drbd

host-a側をプライマリに設定(host-a側で実施)
# drbdadm -- --overwrite-data-of-peer primary r0

動作確認
# drbd-overview
もしくは
# cat /proc/drbd

sync'edの表示がなくなり、cs:Connected ro:Primary/Secondaryなどの
表示がされれば同期完了

ドライブのファイルシステム作成
# mkfs.xfs /dev/drbd0

ドライブのマウント
# mount /dev/drbd0 /drbd

プライマリとセカンダリを入れ替える場合は、
host-a側で
# umount /drbd
# drbdadm secondary r0
host-b側で
# drbdadm primary r0
# mount /dev/drbd0 /drbd
で完了。

基本的な設定はこんな感じで、とりあえず冗長化させたいので有れば、これだけでも良いかも。
KVMなどの仮想環境でも設定可能。

ping疎通はするけど、sshが接続できなかった場合の対応メモ [Linux]

Linux端末からLinuxサーバへssh接続しようとした時に、接続が出来なかった時の対応メモ。
$ ssh user@192.168.10.100
で、接続したときに初回接続時に表示される「The authenticity of host ・・・」が出て、yesを入力し、
続行するが、その後に何も表示がされず接続が出来なかった。
pingで疎通確認をしても、正常に応答が有るので物理的に接続は問題なし。
iptablesTCP Wrapperで、接続元の許可が無いまたは拒否されている状態または、
sshdが起動していないので有れば、「The authenticity of host ・・・」の表示は出てこない。

トラブルシューティングで、sshのオプション-vを付けて接続してみると、
$ ssh -v user@192.168.10.100
  :
  :
debug1: SSH2_MSG_KEXINIT sent
で止まっていることを確認。

調べたところ、バックアップ用セグメントのネットワークで、Jumboフレームに対応したL2SWへ
接続予定だったネットワークI/Fのため、MTU値9000に設定されていた。
このときは本設置前のテスト用ネットワークで、FastEthernetのL2SWに接続されていたので、
とりあえずMTU値を1500へ設定し、sshで接続が可能になった。
本設置時、Jumboフレームに対応したL2SWへ接続し、MTU値を9000に戻し、sshで接続したところ
問題なく接続が出来た。
インターネットVPNなどの接続で、MTU値の変更が必要な環境でも、同様のことが起こるのでこの辺りの確認が必要かも。

DNSサーバのKSKロールオーバー対応メモ [DNS]

ネットワーク関連のニュースで、KSKロールオーバーの情報がチラホラと出ています。
内容的にはDNSルートゾーンKSKが更新されて、一部のDNSサーバが正常に動作しなくなるもよう。
専門的な内容が多く、実際に何をしないといけないか分かりにくかったので、調べた内容のメモ。
KSKはKey Signing Keyの略

対応しないといけないサーバと内容は
DNSSECが有効になっているDNSキャッシュサーバトラストアンカーの更新
DNS応答で大きなサイズに対応可能なこと。
この2点のようです。

DNSキャッシュサーバのトラストアンカーの更新ですが、パッケージでインストールしていない場合は、
該当のキーファイルを更新するようになる。
yumなどのパッケージでインストールをしている場合は、アップデートをすることで対応が完了する。
CentOSの場合の確認はnamed.confで指定している、トラストアンカーファイル
/etc/named.iscdlv.key
で、このファイルの内容を確認すると古い日付になっている。
# These keys are current as of January 2011. If any key fails to

bindをアップデートし、
# yum update bind
再度、/etc/named.iscdlv.keyの中身を確認し、
# These keys are current as of Feburary 2017. If any key fails to
のように日付が更新されていれば良いかと。

DNSSECが無効になっていたら関係は無いようなのですが、bindは脆弱性も多いので、
念のためにアップデートはしておいた方が良さそう。
DNSSECはデフォルトでは有効になっているので、設定変更をしないかぎりは無効にならないので、
注意が必要。

DNS応答で大きなサイズに対応可能になっているかを確認するには、
digコマンドで、
$ dig +bufsize=4096 +short rs.dns-oarc.net txt
を実行し、以下のような返答が有ればOK

rst.x4050.rs.dns-oarc.net.
rst.x4058.x4050.rs.dns-oarc.net.
rst.x4064.x4058.x4050.rs.dns-oarc.net.
"xxx.xxx.xxx.xxx DNS reply size limit is at least 4064"
"Tested at 2017-xx-xx xx:xx:xx UTC"
"xxx.xxx.xxx.xxx sent EDNS buffer size 4096"

reply size limitの値が1424より大きければ対応済み。

もしくは、以下のサイトへブラウザでアクセスし、1から4の結果がpassになっていれば良いそうです。
通常のインターネット回線を利用していれば問題は無いと思いますが、VPN経由とかだと対応していない
場合も有るようなので、チェックはしておいたほうが良さそうです。

対象のサーバを運営している場合は、名前解決が出来なくなり、サーバに接続が出来ないなどのトラブルが発生するので、早めの対応しておいた方が良さそうです。
スポンサードリンク
シャンパン酵母エキス