Som administratörer, IT -supportpersonal eller chefer för nätverks- och systemområdet har vi något grundläggande för att hjälpa oss att hålla reda på varje händelse som inträffar i systemet, både på användarnivå, applikationer eller själva systemet, och dessa är evenemang.
Varje händelse registrerar en rad element som hjälper oss att i detalj bestämma varje aktivitet med värden som datum, tid, ID, användare och händelse som inträffade, vilket ger oss en mycket mer centraliserad hantering och administration.
Vi kan se att varje post tillhör en annan kategori som system, säkerhet etc.
I Linux -miljöer har vi vårt Rsyslog -verktyg till vårt förfogande som gör det möjligt att hantera dessa händelser på ett enkelt och komplett sätt.
Vad är RsyslogRsyslog (raketsnabbt system för logg - snabbt system för loggbearbetning) är ett verktyg som är utformat för att erbjuda hög prestanda, utmärkta säkerhetsfunktioner och en modulär design som gör att det kan skalas för att passa varje företags behov.
Rsyslog kan ta emot inmatningar från en mängd olika källor, transformera dem och generera resultat för olika destinationer, optimera IT -hanteringen.
RSYSLOG kan leverera mer än en miljon meddelanden per sekund till lokala destinationer när begränsad behandling tillämpas inklusive fjärrdestinationer.
Rsyslog -funktionerNär vi använder Rsyslog kommer vi att ha funktioner som:
- $ LocalHostName [name] -direktiv: Med detta direktiv kan vi skriva över systemets värdnamn med det som anges i direktivet. Om direktivet ges flera gånger ignoreras alla utom det sista.
- Har lagt till Hadoop HDFS -stöd.
- Den har en impstatmodul för att köra periodisk statistik om Rsyslog -räknarna.
- Den har imptcp -plugin.
- Inkluderar en ny typ av "stränggenerator" -modul, som används för att påskynda utdatabehandlingen.
- Stöder OSX och Solaris.
- Möjlighet att skapa anpassade meddelandeparsers.
- Stöd för flera regler för imudp.
- Nytt gränssnitt för transaktionsutgångsmodul som ger överlägsen prestanda.
- Flertrådad
- Stöder TCP, SSL, TLS, RELP -protokoll
- Stöder MySQL, PostgreSQL, Oracle och mer
- Filtrera någon del av syslog -meddelandet
- Fullt konfigurerbart utdataformat
- Lämplig för broadcast-nätverk i affärsklass
Rsyslog filtreringRsyslog kan filtrera syslog -meddelanden baserat på utvalda egenskaper och åtgärder, dessa filter är:
- Facility eller Priority Filers
- Fastighetsbaserade filter
- Uttrycksbaserade filter
Anläggningsfiltret representeras av det interna Linux -delsystemet som ansvarar för att producera posterna, vi har följande alternativ:
- auth / authpriv = De är de meddelanden som produceras av autentiseringsprocesser
- cron = De är poster som är associerade med cron -uppgif.webpter
- daemon = Det här är meddelanden relaterade till de systemtjänster som körs
- kernel = Anger Linux -kärnmeddelanden
- mail = Inkluderar meddelanden från e -postservern
- syslog = De är meddelanden relaterade till syslog eller andra demoner
- lpr = Täcker skrivare eller skrivarservermeddelanden
- local0 - local7 = Räkna anpassade meddelanden under administratörskontroll
- emer = Emergency - 0
- alert = Varningar - 1
- err = Fel - 3
- varna = Varningar - 4
- meddelande = Meddelande - 5
- info = Information - 6
- debbug = Debugging - 7
1. Hur man konfigurerar och kontrollerar status för Rsyslog i Linux
Steg 1
Rsyslog -demonen installeras automatiskt på de flesta Linux -distributioner, men om inte, måste vi köra följande kommandon:
På Debians system
sudo apt-get install Rsyslog
På RedHat- eller CentOS -system
sudo yum installera Rsyslog
Steg 2
Vi kan kontrollera den aktuella statusen för Rsyslog genom att köra följande rad:
På Linux -distributioner som använder Systemd
systemctl status rsyslog.service
I äldre versioner av Linux
tjänst rsyslog status /etc/init.d/rsyslog status
FÖRSTORA
Steg 3
Om statusen för Rsyslog -tjänsten är inaktiv kan vi starta den genom att köra följande:
I nya versioner av Linux
systemctl startar rsyslog.service
I äldre versioner av Linux
service rsyslog start /etc/init.d/rsyslog start
FÖRSTORA
2. Rsyslog -konfiguration på Linux
För att konfigurera ett rsyslog -program för att köra i serverläge måste vi redigera konfigurationsfilen i katalogen /etc/rsyslog.conf.
Steg 1
Vi kan komma åt med hjälp av önskad redaktör:
sudo nano /etc/rsyslog.conf
FÖRSTORA
Steg 2
Där kommer vi att göra följande ändringar. Leta upp och avmarkera, ta bort tecknet (#) från följande rader för att tillåta mottagning av UDP -loggmeddelanden på port 514. UDP -porten används som standard av syslog för att skicka och ta emot meddelanden:
$ ModLoad imudp $ UDPServerRun 514Steg 3
UDP -protokollet är inte tillförlitligt för att utbyta data över ett nätverk, så vi kan konfigurera Rsyslog för att skicka loggmeddelanden till en fjärrserver via TCP -protokollet. För att aktivera TCP -mottagningsprotokollet tar vi bort följande rader:
$ ModLoad imtcp $ InputTCPServerRun 514Steg 4
Detta gör det möjligt för rsyslog -demonen att binda och lyssna på ett TCP -uttag på port 514.
Båda protokollen kan aktiveras i rsyslog att köras samtidigt på Linux.
Om det är nödvändigt att ange vilka avsändare som får åtkomst till rsyslog -demonen måste vi lägga till följande rader:
$ AllowedSender TCP, 127.0.0.1, 192.168.0.5/24, * .domain.com
FÖRSTORA
Steg 5
Vid denna tidpunkt kommer det att vara nödvändigt att skapa en ny mall som analyseras av rsyslog -demonen innan de inkommande loggarna tas emot. Den här mallen ska berätta för den lokala Rsyslog -servern var inkommande loggmeddelanden ska lagras. Den här mallen går efter $ AllowedSender -raden:
$ mall Inkommande loggar, " / var / log /% HOSTNAME% /% PROGRAMNAME% .log" *. *? Inkommande loggar & ~
FÖRSTORA
Steg 6
För att bara spela in de meddelanden som genereras av kern lägger vi till följande. Med ovanstående analyseras de mottagna posterna av mallen och lagras i det lokala filsystemet i katalogen / var / log / i sökvägen:% HOSTNAME% och% PROGRAMNAME%.
kern. *? Inkommande loggarSteg 7
Vi kan spara ändringarna med följande tangentkombination:
Ctrl + O
Vi lämnar redaktören med:
Ctrl + X
3. Starta om tjänsten och kontrollera Rsyslog -portar på Linux
Steg 1
När vi gör någon typ av ändring måste vi starta om tjänsten genom att köra ett av följande alternativ:
sudo service rsyslog starta om sudo systemctl starta om RsyslogSteg 2
För att kontrollera portarna som används av Rsyslog kommer vi att utföra följande:
sudo netstat -tulpn | grep rsyslogSteg 3
Som vi har angett kommer porten som används att vara 514, vi måste aktivera den i brandväggen för användning med följande rader.
På RedHat och CentOS
brandvägg-cmd --permanent --add-port = 514 / tcp brandvägg-cmd -reload
I Debian
ufw allow 514 / tcp ufw allow 514 / udpOm vi använder IPTables:
iptables -A INPUT -p tcp -m tcp --dport 514 -j ACCEPT iptables -A INPUT -p udp --dport 514 -j ACCEPT
FÖRSTORA
På detta sätt har vi installerat Rsyslog i Linux för att hantera de olika typerna av loggar som ständigt genereras i det.
