tl;dl
前回の続き。Papertrail へのログ転送がせっかく TLS をサポートしているのに勿体ないと思ったので構成変更して設定した。
参考
memo
構成変更
一旦、ローカルホストの rsyslog で Apache コンテナのログを受けて、さらに TLS 転送で Papertrail へ転送する。
設定
# rsyslog-gnutls のインストール $ sudo apt-get install rsyslog-gnutls # ルート証明書の取得 $ wget https://papertrailapp.com/tools/papertrail-bundle.pem $ md5sum papertrail-bundle.pem $ sudo mv papertrail-bundle.pem /etc/ # 設定 $ sudo sh -c 'cat << EOT > /tmp/papaertrail.conf \$DefaultNetstreamDriverCAFile /etc/papertrail-bundle.pem \$ActionSendStreamDriver gtls \$ActionSendStreamDriverMode 1 \$ActionSendStreamDriverAuthMode x509/name \$ActionSendStreamDriverPermittedPeer *.papertrailapp.com daemon.* @@xxxx.papertrailapp.com:xxxxx EOT ' # rsyslog の再起動 $ sudo /etc/init.d/rsyslog restart
Apache コンテナの起動しなおし
Papertrail のエンドポイントを直指定していたのを止めたいのでコンテナ起動しなおし。
$ docker run -d \ --link redmine:redmine \ --name=apache \ -p 80:80 \ -p 443:443 \ --log-driver=syslog \ --log-opt syslog-facility=daemon \ --log-opt syslog-tag="apache" \ inokappa/apache
確認
念のため tcpdump で確認。
- tls 設定前(暗号化前)
07:23:34.114544 IP debina01.xxxx.xxxx.com.42113 > xxxx.papertrailapp.com.xxxxx: Flags [P.], seq 3055:3213, ack 1, win 229, options [nop,nop,TS val 78926116 ecr 3407201317], length 158
0x0000: 4500 00d2 5168 4000 4006 34cd 9978 02d5 E...Qh@.@.4..x..
0x0010: adf7 69ac a481 da17 0112 0dae 5d1a 8ab9 ..i.........]...
0x0020: 8018 00e5 b4b5 0000 0101 080a 04b4 5124 ..............Q$
0x0030: cb15 c425 6542 656e 6368 2f32 2e33 220a ...%eBench/2.3".
0x0040: 3c33 303e 4175 6720 3231 2030 373a 3233 <30>Aug.21.07:23
0x0050: 3a33 3420 6465 6269 6e61 3031 2064 6f63 :34.debina01.doc
0x0060: 6b65 722f 6170 6163 6865 5b34 3835 385d ker/apache[4858]
0x0070: 3a20 3135 332e 3134 322e 3238 2e31 3037 :.xxx.xxx.xx.xxx
0x0080: 202d 202d 205b 3230 2f41 7567 2f32 3031 .-.-.[20/Aug/201
0x0090: 353a 3232 3a32 333a 3333 202b 3030 3030 5:22:23:33.+0000
0x00a0: 5d20 2247 4554 202f 2048 5454 502f 312e ]."GET./.HTTP/1.
0x00b0: 3022 2032 3030 2035 3636 3420 222d 2220 0".200.5664."-".
0x00c0: 2241 7061 6368 6542 656e 6368 2f32 2e33 "ApacheBench/2.3
0x00d0: 220a
- tls 設定後(暗号化後)
07:25:26.485536 IP debina01.xxxx.xxxx.com.38699 > xxxx.papertrailapp.com.xxxxx: Flags [.], seq 8024:9472, ack 1, win 342, options [nop,nop,TS val 78954209 ecr 342507711], length 1448
0x0000: 4500 05dc 30fc 4000 4006 5030 9978 02d5 E...0.@.@.P0.x..
0x0010: adf7 69ab 972b da17 08fd c11c 36df 9b5f ..i..+......6.._
0x0020: 8010 0156 b9be 0000 0101 080a 04b4 bee1 ...V............
0x0030: 146a 40bf 1703 0300 c065 fc20 39a4 64a7 .j@......e..9.d.
0x0040: 1ddc bd39 7d24 62ea 84fc 6fcf 31ac c070 ...9}$b...o.1..p
0x0050: f6ba e7f3 d318 e2a7 ea41 a53e 0b35 c07a .........A.>.5.z
0x0060: f561 2e47 edb4 3da9 4b49 4edd 559b ac64 .a.G..=.KIN.U..d
0x0070: c51a 6c0c 563c d597 640a 9b82 ec0a 64f1 ..l.V<..d.....d.
0x0080: b1ab c329 7562 55b4 1de0 65e4 ff76 d7b2 ...)ubU...e..v..
0x0090: 1574 b5fe 19be 5b8b 6db7 9304 df63 44a9 .t....[.m....cD.
0x00a0: 1657 aa6f a06a d7fc d6eb 5c89 37e3 4802 .W.o.j....\.7.H.
0x00b0: a451 fb8b 0e67 5cc6 1eb9 b1ad 988d 5e9b .Q...g\.......^.
- Papertrail のダッシュボードも確認
おわり
TLS 転送設定出来てちょっとすっきりしたけど、rsyslog 周りの設定がザクッとしすぎなので諸々見直したい。
