Kif Immaniġġja r-Reġistri tas-Sistema (Kkonfigura, Dawwar u Importa F'Database) f'RHEL 7 - Parti 5

Sabiex iżżomm is-sistemi RHEL 7 tiegħek siguri, trid tkun taf kif tissorvelja l-attivitajiet kollha li jseħħu fuq sistemi bħal dawn billi teżamina l-fajls tal-log. Għalhekk, inti tkun kapaċi tiskopri kwalunkwe attività mhux tas-soltu jew potenzjalment malizzjuża u twettaq issolvi l-problemi tas-sistema jew tieħu azzjoni xierqa oħra.

F'RHEL 7, id-daemon rsyslogd huwa responsabbli għall-illoggjar tas-sistema u jaqra l-konfigurazzjoni tiegħu minn /etc/rsyslog.conf (dan il-fajl jispeċifika l-post default għar-reġistri tas-sistema kollha) u minn fajls ġewwa /etc/rsyslog.d, jekk ikun hemm.

Konfigurazzjoni Rsyslogd

Spezzjoni ta 'malajr tar-rsyslog.conf tkun ta' għajnuna biex tibda. Dan il-fajl huwa maqsum fi 3 sezzjonijiet ewlenin: Moduli (peress li rsyslog isegwi disinn modulari), Direttivi Globali (użati biex jistabbilixxu proprjetajiet globali tad-daemon rsyslogd), u Regoli. Kif probabilment taħsbu, din l-aħħar taqsima tindika x'jiġi illoggjat jew muri (magħruf ukoll bħala s-selettur) u fejn, u se jkun il-fokus tagħna matul dan l-artikolu.

Linja tipika f'rsyslog.conf hija kif ġej:

Fl-immaġini ta’ hawn fuq, nistgħu naraw li selettur jikkonsisti f’par wieħed jew aktar Faċilità:Prijorità separati b’punti u virgola, fejn il-Faċilità tiddeskrivi t-tip ta’ messaġġ (irreferi għat-taqsima 4.1.1 f’RFC 3164 biex tara l-lista sħiħa ta’ faċilitajiet disponibbli għal rsyslog) u Prijorità tindika s-severità tagħha, li tista' tkun waħda mill-kliem li jispjega lilu nnifsu:

  1. debug
  2. informazzjoni
  3. avviż
  4. twissija
  5. żball
  6. crit
  7. twissija
  8. emerġ

Għalkemm mhix prijorità nnifisha, il-kelma prinċipali xejn ma tfisser l-ebda prijorità tal-faċilità mogħtija.

Nota: Li prijorità partikolari tindika li l-messaġġi kollha ta' tali prijorità u ogħla għandhom jiġu illoggjati. Għalhekk, il-linja fl-eżempju ta’ hawn fuq tagħti struzzjonijiet lid-daemon rsyslogd biex jirreġistra l-messaġġi kollha ta’ informazzjoni prijoritarja jew ogħla (irrispettivament mill-faċilità) ħlief dawk li jappartjenu għal servizzi ta’ posta, awtpriv, u cron (l-ebda messaġġ li ġej minn din il-faċilitajiet mhu se jitqies ) għal /var/log/messages.

Tista 'wkoll tiġbor faċilitajiet multipli billi tuża s-sinjal tal-kolon biex tapplika l-istess prijorità għalihom kollha. Għalhekk, il-linja:

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

Jista 'jinkiteb mill-ġdid bħala

*.info;mail,authpriv,cron.none                /var/log/messages

Fi kliem ieħor, il-faċilitajiet mail, authpriv, u cron huma miġbura u l-kelma prinċipali xejn ma tiġi applikata għat-tlieta minnhom.

Biex tilloggja l-messaġġi kollha tad-demon f'/var/log/tecmint.log, irridu nżidu l-linja li ġejja jew f'rsyslog.conf jew f'fajl separat (aktar faċli biex timmaniġġja) ġewwa /etc/rsyslog.d:

daemon.*    /var/log/tecmint.log

Ejja nibdew mill-ġdid id-daemon (innota li l-isem tas-servizz ma jispiċċax b'd):

# systemctl restart rsyslog

U iċċekkja l-kontenut tar-reġistru tad-dwana tagħna qabel u wara li terġa 'tibda żewġ daemons każwali:

Bħala eżerċizzju ta' studju personali, nirrakkomanda li tilgħab bil-faċilitajiet u l-prijoritajiet u jew tilloggja messaġġi addizzjonali għal log files eżistenti jew toħloq oħrajn ġodda bħal fl-eżempju preċedenti.

Zkuk li jduru bl-użu ta' Logrotate

Biex tipprevjeni l-fajls log milli jikbru bla tarf, l-utilità logrotate tintuża biex iddawwar, tikkompressa, tneħħi, u alternattivament ibgħat zkuk, u b'hekk titħaffef l-amministrazzjoni ta 'sistemi li jiġġeneraw għadd kbir ta' fajls log.

Logrotate jaħdem kuljum bħala xogħol cron (/etc/cron.daily/logrotate) u jaqra l-konfigurazzjoni tiegħu minn /etc/logrotate.conf u minn fajls li jinsabu f'/etc/logrotate.d, jekk ikun hemm.

Bħal fil-każ ta 'rsyslog, anke meta tista' tinkludi settings għal servizzi speċifiċi fil-fajl prinċipali, il-ħolqien ta 'fajls ta' konfigurazzjoni separati għal kull wieħed jgħin biex torganizza aħjar is-settings tiegħek.

Ejja nagħtu ħarsa lejn logrotate.conf tipiku:

Fl-eżempju t'hawn fuq, logrotate se jwettaq l-azzjonijiet li ġejjin għal /var/loh/wtmp: ipprova jdur darba fix-xahar biss, iżda biss jekk il-fajl ikollu daqs mill-inqas 1 MB, imbagħad oħloq log file ġdid fjamant bil-permessi stabbiliti għal 0664 u sjieda mogħtija lill-utent root u grupp utmp. Sussegwentement, żomm log arkivjat wieħed biss, kif speċifikat mid-direttiva ta' rotazzjoni:

Ejja issa nikkunsidraw eżempju ieħor kif jinstab f'/etc/logrotate.d/httpd:

Tista' taqra aktar dwar is-settings għal logrotate fil-paġni man tagħha (man logrotate.conf). Iż-żewġ fajls huma pprovduti flimkien ma 'dan l-artikolu f'format PDF għall-konvenjenza tal-qari tiegħek.

Bħala inġinier tas-sistema, ikun pjuttost f'idejk li tiddeċiedi għal kemm se jkunu maħżuna zkuk u f'liema format, skont jekk għandekx /var f'partizzjoni/volum loġiku separat. Inkella, int verament trid tikkunsidra li tneħħi zkuk qodma biex tiffranka spazju għall-ħażna. Min-naħa l-oħra, tista 'tiġi sfurzat iżżomm diversi zkuk għal awditjar tas-sigurtà fil-futur skont il-politiki interni tal-kumpanija jew tal-klijent tiegħek.

Naturalment l-eżaminazzjoni ta 'zkuk (anke bl-għajnuna ta' għodod bħal grep u espressjonijiet regolari) tista 'ssir biċċa xogħol pjuttost tedjanti. Għal dik ir-raġuni, rsyslog jippermettilna nesportawhom f'database (RDBMS appoġġjati mill-OTB jinkludu MySQL, MariaDB, PostgreSQL u Oracle.

Din it-taqsima tat-tutorja tassumi li diġà installajt is-server u l-klijent MariaDB fl-istess kaxxa RHEL 7 fejn qed jiġu ġestiti r-zkuk:

# yum update && yum install mariadb mariadb-server mariadb-client rsyslog-mysql
# systemctl enable mariadb && systemctl start mariadb

Imbagħad uża l-utilità mysql_secure_installation biex tissettja l-password għall-utent root u kunsiderazzjonijiet oħra ta’ sigurtà:

Nota: Jekk ma tridx tuża l-utent tal-għerq MariaDB biex iddaħħal messaġġi log fid-database, tista 'tikkonfigura kont ta' utent ieħor biex tagħmel dan. Li tispjega kif tagħmel dan huwa barra mill-ambitu ta 'dan it-tutorja iżda huwa spjegat fid-dettall fil-bażi ta' għarfien MariaDB. F'dan it-tutorja se nużaw il-kont tal-għeruq għas-sempliċità.

Sussegwentement, niżżel l-iskrittura createDB.sql minn GitHub u timportaha fis-server tad-database tiegħek:

# mysql -u root -p < createDB.sql

Fl-aħħarnett, żid il-linji li ġejjin għal /etc/rsyslog.conf:

$ModLoad ommysql
$ActionOmmysqlServerPort 3306
*.* :ommysql:localhost,Syslog,root,YourPasswordHere

Ibda mill-ġdid rsyslog u s-server tad-database:

# systemctl restart rsyslog 
# systemctl restart mariadb

Issa wettaq xi ħidmiet li jimmodifikaw ir-zkuk (bħal waqfien u bidu tas-servizzi, pereżempju), imbagħad illoggja mas-server DB tiegħek u uża kmandi SQL standard biex turi u tfittex fir-zkuk:

USE Syslog;
SELECT ReceivedAt, Message FROM SystemEvents;

Sommarju

F'dan l-artikolu spjegajna kif twaqqaf il-logging tas-sistema, kif iddawwar zkuk, u kif terġa 'tidderieġi l-messaġġi għal database għal tfittxija aktar faċli. Nittamaw li dawn il-ħiliet ikunu ta’ għajnuna hekk kif tipprepara għall-eżami RHCE u fir-responsabbiltajiet tiegħek ta’ kuljum ukoll.

Bħal dejjem, ir-rispons tiegħek huwa aktar minn milqugħ. Ħossok liberu li tuża l-formola hawn taħt biex tilħaqna.