Så här installerar du Rsyslog -loggservern på Linux

Som administratörer, IT -supportpersonal eller chefer för nätverks- och systemområdet har vi något grundläggande för att hjälpa oss att hålla reda på varje händelse som inträffar i systemet, både på användarnivå, applikationer eller själva systemet, och dessa är evenemang.

Varje händelse registrerar en rad element som hjälper oss att i detalj bestämma varje aktivitet med värden som datum, tid, ID, användare och händelse som inträffade, vilket ger oss en mycket mer centraliserad hantering och administration.
Vi kan se att varje post tillhör en annan kategori som system, säkerhet etc.

I Linux -miljöer har vi vårt Rsyslog -verktyg till vårt förfogande som gör det möjligt att hantera dessa händelser på ett enkelt och komplett sätt.

Vad är RsyslogRsyslog (raketsnabbt system för logg - snabbt system för loggbearbetning) är ett verktyg som är utformat för att erbjuda hög prestanda, utmärkta säkerhetsfunktioner och en modulär design som gör att det kan skalas för att passa varje företags behov.

Rsyslog kan ta emot inmatningar från en mängd olika källor, transformera dem och generera resultat för olika destinationer, optimera IT -hanteringen.

RSYSLOG kan leverera mer än en miljon meddelanden per sekund till lokala destinationer när begränsad behandling tillämpas inklusive fjärrdestinationer.

Rsyslog -funktionerNär vi använder Rsyslog kommer vi att ha funktioner som:

  • $ LocalHostName [name] -direktiv: Med detta direktiv kan vi skriva över systemets värdnamn med det som anges i direktivet. Om direktivet ges flera gånger ignoreras alla utom det sista.
  • Har lagt till Hadoop HDFS -stöd.
  • Den har en impstatmodul för att köra periodisk statistik om Rsyslog -räknarna.
  • Den har imptcp -plugin.
  • Inkluderar en ny typ av "stränggenerator" -modul, som används för att påskynda utdatabehandlingen.
  • Stöder OSX och Solaris.
  • Möjlighet att skapa anpassade meddelandeparsers.
  • Stöd för flera regler för imudp.
  • Nytt gränssnitt för transaktionsutgångsmodul som ger överlägsen prestanda.
  • Flertrådad
  • Stöder TCP, SSL, TLS, RELP -protokoll
  • Stöder MySQL, PostgreSQL, Oracle och mer
  • Filtrera någon del av syslog -meddelandet
  • Fullt konfigurerbart utdataformat
  • Lämplig för broadcast-nätverk i affärsklass

Rsyslog filtreringRsyslog kan filtrera syslog -meddelanden baserat på utvalda egenskaper och åtgärder, dessa filter är:

  • Facility eller Priority Filers
  • Fastighetsbaserade filter
  • Uttrycksbaserade filter

Anläggningsfiltret representeras av det interna Linux -delsystemet som ansvarar för att producera posterna, vi har följande alternativ:

  • auth / authpriv = De är de meddelanden som produceras av autentiseringsprocesser
  • cron = De är poster som är associerade med cron -uppgif.webpter
  • daemon = Det här är meddelanden relaterade till de systemtjänster som körs
  • kernel = Anger Linux -kärnmeddelanden
  • mail = Inkluderar meddelanden från e -postservern
  • syslog = De är meddelanden relaterade till syslog eller andra demoner
  • lpr = Täcker skrivare eller skrivarservermeddelanden
  • local0 - local7 = Räkna anpassade meddelanden under administratörskontroll
Prioritets- eller svårighetsgrader med Rsyslog tilldelas ett sökord och ett nummer enligt följande:
  • emer = Emergency - 0
  • alert = Varningar - 1
  • err = Fel - 3
  • varna = Varningar - 4
  • meddelande = Meddelande - 5
  • info = Information - 6
  • debbug = Debugging - 7

1. Hur man konfigurerar och kontrollerar status för Rsyslog i Linux

Steg 1
Rsyslog -demonen installeras automatiskt på de flesta Linux -distributioner, men om inte, måste vi köra följande kommandon:

På Debians system

 sudo apt-get install Rsyslog 

På RedHat- eller CentOS -system

 sudo yum installera Rsyslog 

Steg 2
Vi kan kontrollera den aktuella statusen för Rsyslog genom att köra följande rad:

På Linux -distributioner som använder Systemd

 systemctl status rsyslog.service 

I äldre versioner av Linux

 tjänst rsyslog status /etc/init.d/rsyslog status

FÖRSTORA

Steg 3
Om statusen för Rsyslog -tjänsten är inaktiv kan vi starta den genom att köra följande:

I nya versioner av Linux

 systemctl startar rsyslog.service 

I äldre versioner av Linux

 service rsyslog start /etc/init.d/rsyslog start

FÖRSTORA

2. Rsyslog -konfiguration på Linux


För att konfigurera ett rsyslog -program för att köra i serverläge måste vi redigera konfigurationsfilen i katalogen /etc/rsyslog.conf.

Steg 1
Vi kan komma åt med hjälp av önskad redaktör:

 sudo nano /etc/rsyslog.conf

FÖRSTORA

Steg 2
Där kommer vi att göra följande ändringar. Leta upp och avmarkera, ta bort tecknet (#) från följande rader för att tillåta mottagning av UDP -loggmeddelanden på port 514. UDP -porten används som standard av syslog för att skicka och ta emot meddelanden:

 $ ModLoad imudp $ UDPServerRun 514
Steg 3
UDP -protokollet är inte tillförlitligt för att utbyta data över ett nätverk, så vi kan konfigurera Rsyslog för att skicka loggmeddelanden till en fjärrserver via TCP -protokollet. För att aktivera TCP -mottagningsprotokollet tar vi bort följande rader:
 $ ModLoad imtcp $ InputTCPServerRun 514
Steg 4
Detta gör det möjligt för rsyslog -demonen att binda och lyssna på ett TCP -uttag på port 514.
Båda protokollen kan aktiveras i rsyslog att köras samtidigt på Linux.
Om det är nödvändigt att ange vilka avsändare som får åtkomst till rsyslog -demonen måste vi lägga till följande rader:
 $ AllowedSender TCP, 127.0.0.1, 192.168.0.5/24, * .domain.com 

FÖRSTORA

Steg 5
Vid denna tidpunkt kommer det att vara nödvändigt att skapa en ny mall som analyseras av rsyslog -demonen innan de inkommande loggarna tas emot. Den här mallen ska berätta för den lokala Rsyslog -servern var inkommande loggmeddelanden ska lagras. Den här mallen går efter $ AllowedSender -raden:

 $ mall Inkommande loggar, " / var / log /% HOSTNAME% /% PROGRAMNAME% .log" *. *? Inkommande loggar & ~ 

FÖRSTORA

Steg 6
För att bara spela in de meddelanden som genereras av kern lägger vi till följande. Med ovanstående analyseras de mottagna posterna av mallen och lagras i det lokala filsystemet i katalogen / var / log / i sökvägen:% HOSTNAME% och% PROGRAMNAME%.

 kern. *? Inkommande loggar
Steg 7
Vi kan spara ändringarna med följande tangentkombination:

Ctrl + O

Vi lämnar redaktören med:

Ctrl + X

3. Starta om tjänsten och kontrollera Rsyslog -portar på Linux

Steg 1
När vi gör någon typ av ändring måste vi starta om tjänsten genom att köra ett av följande alternativ:

 sudo service rsyslog starta om sudo systemctl starta om Rsyslog
Steg 2
För att kontrollera portarna som används av Rsyslog kommer vi att utföra följande:
 sudo netstat -tulpn | grep rsyslog
Steg 3
Som vi har angett kommer porten som används att vara 514, vi måste aktivera den i brandväggen för användning med följande rader.

På RedHat och CentOS

 brandvägg-cmd --permanent --add-port = 514 / tcp brandvägg-cmd -reload

I Debian

 ufw allow 514 / tcp ufw allow 514 / udp
Om vi ​​använder IPTables:
 iptables -A INPUT -p tcp -m tcp --dport 514 -j ACCEPT iptables -A INPUT -p udp --dport 514 -j ACCEPT

FÖRSTORA

På detta sätt har vi installerat Rsyslog i Linux för att hantera de olika typerna av loggar som ständigt genereras i det.

wave wave wave wave wave