<참고 벤더 원문>

https://support.f5.com/csp/article/K16197

 --> 로그 파일 리뷰

https://support.f5.com/csp/article/K15934495

 --> syslog-ng가 로그 파일 (12.x-15.x)로 보내는 정보 수준 구성

https://support.f5.com/csp/article/K13080

 --> 원격 syslog 서버 (11.x-15.x)에 로그인하도록 BIG-IP 시스템 구성

https://support.f5.com/csp/article/K86480148

 -->  원격 syslog 서버로 로그를 보내는 문제 해결

https://support.f5.com/csp/article/K7342

 --> syslog-ng.conf 파일 개요

https://support.f5.com/csp/article/K13333

 --> 원격 syslog 서버 (11.x-15.x)로 전송 된 로그 메시지 필터링

https://support.f5.com/csp/article/K16932

 --> SSL 액세스 및 요청 메시지를 원격 syslog 서버로 전송하지 않도록 BIG-IP 시스템 구성

https://support.f5.com/csp/article/K13083

 --> 명령 줄에서 syslog 설정 구성 (11.x-15.x)


<필터 설정 시 참고 용>

1. 기존 설정 제거

modify sys syslog include none

2. ltm 및 audit 로깅 및 tcpdump 로그는 제거, 추가 cmd 로그 제거(cmd=data 장비 로컬에서 초간격으로 상태 체크 로그)

2-1. syslog 가 두개 일 경우

modify sys syslog include "filter ltm {(facility(local0)) and level(notice..emerg);};destination d_logsvr {udp(\"192.168.20.242\"port(514));udp(\"192.168.20.243\"port(514));};filter f_no_tcpdump {not match(Tcpdump);};filter f_no_cmd {not match(cmd);}; log {source(local);filter(ltm);filter(f_no_tcpdump);filter(f_no_cmd);destination(d_logsvr);};"

2-2. syslog 가 한개 일 경우

modify sys syslog include "filter ltm {(facility(local0)) and level(notice..emerg);};destination d_logsvr {udp(\"192.168.20.242\"port(514));};filter f_no_tcpdump {not match(Tcpdump);};filter f_no_cmd {not match(cmd);}; log {source(local);filter(ltm);filter(f_no_tcpdump);filter(f_no_cmd);destination(d_logsvr);};"

2-3. syslog 가 세개 일 경우

modify sys syslog include "filter ltm {(facility(local0)) and level(notice..emerg);};destination d_logsvr {udp(\"192.168.20.242\"port(514));udp(\"192.168.20.243\"port(514));udp(\"192.168.20.244\"port(514));};filter f_no_tcpdump {not match(Tcpdump);};filter f_no_cmd {not match(cmd);}; log {source(local);filter(ltm);filter(f_no_tcpdump);filter(f_no_cmd);destination(d_logsvr);};"

3. 저장

save sys config

테스트 시 참고 사항

audit 적용 시 level(err..emerg);}; 로 되어 있다면 적용 안됨

level(notice..emerg);}; 로 변경 필요


<로그 파일 저장 기간>

참고로 F5 는 모든 로그를 local log file 로 8일 동안 하루 치를 보관 하며, 저장 경로는 /var/log 입니다. 약 20G 용량을 사용하도록 파티셔닝 되어 있습니다.



<강제로 log 발생 시키는 방법>

logger -p local0.warning "test test test test test test test test.“

 --> https://support.f5.com/csp/article/K86480148



<장비 설정 변경 정보가 기록되는 log 파일 경로>

-> /var/log/audit 

-> 설정 변경 정보가 명령어 형식으로 기록됨.

-> 하단 로그는 GUI에서 max login failure 값 변경시 발생하는 로그



<syslog 에서의 local ip 란?>