Kif Issettja l-Klijent Rsyslog biex tibgħat zkuk lil Rsyslog Server f'CentOS 7
Il-ġestjoni taz-zkuk hija waħda mill-aktar komponenti kritiċi fl-infrastruttura tan-netwerk. Messaġġi ta 'zkuk huma kontinwament ġġenerati minn softwer tas-sistema numerużi, bħal utilitajiet, applikazzjonijiet, daemons, servizzi relatati man-netwerk, kernel, apparati fiżiċi eċċ.
Il-fajls tal-ġurnal juru li huma utli fil-każ ta 'soluzzjoni ta' problemi ta 'kwistjonijiet tas-sistema Linux, jimmonitorjaw is-sistema u jirrevedu s-saħħa u l-problemi tas-sigurtà tas-sistema.
Rsyslog huwa programm ta' illoggjar ta' Sors Miftuħ, li huwa l-iktar mekkaniżmu ta' illoggjar popolari f'numru kbir ta' distribuzzjonijiet tal-Linux. Huwa wkoll is-servizz tal-illoggjar default f'CentOS 7 jew RHEL 7.
Rsyslog daemon f'CentOS jista 'jiġi kkonfigurat biex jaħdem bħala server sabiex jiġbor messaġġi log minn apparati tan-netwerk multipli. Dawn l-apparati jaġixxu bħala klijenti u huma kkonfigurati biex jittrasmettu r-zkuk tagħhom lil server rsyslog.
Madankollu, is-servizz Rsyslog jista 'jiġi kkonfigurat u jinbeda wkoll fil-modalità tal-klijent. Din is-setup tagħti struzzjonijiet lid-daemon rsyslog biex jgħaddi messaġġi log lil server Rsyslog remot billi juża l-protokolli tat-trasport TCP jew UDP. Is-servizz Rsyslog jista 'jiġi kkonfigurat ukoll biex jaħdem bħala klijent u bħala server fl-istess ħin.
F'dan it-tutorja ser niddeskrivu kif nistabbilixxu daemon Rsyslog CentOS/RHEL 7 biex tibgħat messaġġi log lil server Rsyslog remot. Din is-setup tiżgura li l-ispazju tad-disk tal-magna tiegħek jista 'jiġi ppreservat għall-ħażna ta' data oħra.
Il-post fejn kważi l-fajls tal-log kollha jinkitbu b'mod awtomatiku f'CentOS huwa l-mogħdija tas-sistema /var. Huwa wkoll rakkomandabbli li dejjem tinħoloq partizzjoni separata għad-direttorju /var, li jista 'jitkabbar dinamikament, sabiex ma teżawrixxix il-partizzjoni /(root).
Klijent Rsyslog dejjem jibgħat il-messaġġi log f'test sempliċi, jekk mhux speċifikat mod ieħor. M'għandekx issettja klijent Rsyslog biex jittrasmetti messaġġi log fuq l-Internet jew netwerks li mhumiex taħt il-kontroll sħiħ tiegħek.
- Proċedura ta' Installazzjoni ta' CentOS 7.3
- Proċedura ta' Installazzjoni RHEL 7.3
- Kkonfigura Server Rsyslog f'CentOS/RHEL 7
Pass 1: Ivverifika l-Installazzjoni ta 'Rsyslog
1. B'mod awtomatiku, id-daemon Rsyslog huwa diġà installat u jaħdem f'sistema CentOS 7. Sabiex tivverifika jekk is-servizz rsyslog huwiex preżenti fis-sistema, agħti l-kmandi li ġejjin.
# rpm -q | grep rsyslog # rsyslogd -v
2. Jekk il-pakkett Rsyslog mhuwiex installat f'CentOS, tesegwixxi l-kmand ta 'hawn taħt biex tinstalla s-servizz.
# yum install rsyslog
Pass 2: Ikkonfigura s-Servizz Rsyslog bħala Klijent
3. Sabiex tinforza d-daemon Rsyslog installat fuq sistema CentOS 7 biex jaġixxi bħala klijent log u jindirizza l-messaġġi log iġġenerati lokalment kollha lejn server Rsyslog remot, immodifika l-fajl tal-konfigurazzjoni rsyslog kif ġej:
L-ewwel tiftaħ il-fajl tal-konfigurazzjoni prinċipali għall-editjar.
# vi /etc/rsyslog.conf
Imbagħad, ehmeż il-linja t'hawn taħt fl-aħħar tal-fajl kif muri fis-silta hawn taħt.
*. * @192.168.10.254:514
Fuq il-linja ta 'hawn fuq tagħmel żgur li tissostitwixxi l-indirizz IP tal-FQDN tas-server rsyslog remot kif xieraq. Il-linja ta 'hawn fuq tagħti struzzjonijiet lid-daemon Rsyslog biex jibgħat il-messaġġi kollha tal-log, irrispettivament mill-faċilità jew is-severità, lill-host bl-IP 192.168.10.254 permezz tal-port 514/UDP.
4. Jekk is-server tal-ġurnal remot huwa kkonfigurat biex jisma' biss fuq konnessjonijiet TCP jew trid tuża protokoll ta' netwerk tat-trasport affidabbli, bħal TCP, żid karattru @ ieħor quddiem il-host remot kif muri f' l-eżempju hawn taħt:
*. * @@logs.domain.lan:514
Il-Linux rsyslog jippermetti wkoll li jkollu xi karattri speċjali, bħal = jew !, li jistgħu jiġu prefissati għal-livelli ta' prijorità biex jindikaw \din il-prijorità biss għal sinjal ugwali u\mhux din il-prijorità jew ogħla minn din.
Xi kampjuni ta' kwalifikanti tal-livell ta' prijorità Rsyslog f'CentOS 7:
- kern.info = zkuk tal-kernel bi prijorità ta' informazzjoni u ogħla.
- kern.=info = messaġġi tal-kernel biss bi prijorità ta' informazzjoni.
- kern.info;kern.!err = messaġġi tal-kernel biss b'informazzjoni, avviż, u prijoritajiet ta' twissija.
- kern.debug;kern.!=twissija = il-prijoritajiet kollha tal-kernel ħlief twissija.
- kern.* = il-messaġġi kollha tal-prijoritajiet tal-kernel.
- kern.none = ma tilloggjax messaġġi relatati tal-faċilità tal-kernel irrispettivament mill-prijorità.
Pereżempju, jekk wieħed jassumi li trid tibgħat biss messaġġi ta' faċilità speċifika lil server ta' log remot, bħall-messaġġi kollha tal-posta relatati irrispettivament mil-livell ta' prijorità, żid il-linja ta' hawn taħt mal-fajl ta' konfigurazzjoni rsyslog:
mail.* @192.168.10.254:514
5. Fl-aħħarnett, sabiex tiġi applikata l-konfigurazzjoni l-ġdida, is-servizz Rsyslog jeħtieġ li jerġa 'jinbeda sabiex id-daemon jieħu l-bidliet, billi jħaddem il-kmand ta' hawn taħt:
# systemctl restart rsyslog.service
6. Jekk għal xi raġunijiet Rsyslog daemon ma jkunx attivat matul il-ħin tal-ibbutjar, agħti l-kmand hawn taħt biex tippermetti s-servizz fis-sistema kollha:
# systemctl enable rsyslog.service
Pass 3: Ibgħat Apache u Nginx Zkuk lil Server Remote Log
7. Apache HTTP server jista 'jiġi kkonfigurat biex jibgħat messaġġi zkuk lil server syslog remot billi żżid il-linja li ġejja mal-fajl tal-konfigurazzjoni prinċipali tiegħu kif muri fl-eżempju ta' hawn taħt.
# vi /etc/httpd/conf/httpd.conf
Fuq Apache fajl konf prinċipali żid il-linja ta 'hawn taħt.
CustomLog "| /bin/sh -c '/usr/bin/tee -a /var/log/httpd/httpd-access.log | /usr/bin/logger -thttpd -plocal1.notice'" combined
Il-linja se tinforza d-daemon HTTP biex tikteb il-messaġġi log internament fil-fajl log tas-sistema tal-fajls, iżda wkoll tipproċessa l-messaġġi aktar permezz ta 'pajp għal utilità logger, li tibgħathom lil server syslog imbiegħed, billi timmarkahom bħala li ġejjin mill-lokal1 faċilità.
8. Jekk trid tidderieġi wkoll messaġġi tal-log tal-iżbalji Apache lil server syslog remot, żid regola ġdida bħal dik ippreżentata fl-eżempju ta 'hawn fuq, iżda kun żgur li tissostitwixxi l-isem tal-fajl log httpd u l-livell ta' severità tal-fajl log għal taqbel mal-prijorità tal-iżball, kif muri fil-kampjun li ġej:
ErrorLog "|/bin/sh -c '/usr/bin/tee -a /var/log/httpd/httpd-error.log | /usr/bin/logger -thttpd -plocal1.err'"
9. Ladarba tkun żidt il-linji ta 'hawn fuq, trid terġa' tibda Apache daemon biex tapplika l-bidliet, billi toħroġ il-kmand li ġej:
# systemctl restart httpd.service
10. Mill-verżjoni 1.7.1, is-server tal-web Nginx għandu kapaċitajiet integrati sabiex jirreġistra direttament il-messaġġi tiegħu għal server syslog remot, billi jżid il-linji ta 'kodiċi li ġejjin għal fajl ta' konfigurazzjoni nginx.
error_log syslog:server=192.168.1.10:514,facility=local7,tag=nginx,severity=error; access_log syslog:server=192.168.10.254:514,facility=local7,tag=nginx,severity=info main;
Għal server IPv6, uża l-format tas-sintassi li ġej biex tehmeż l-indirizz IPv6.
access_log syslog:server=[7101:dc7::9]:514,facility=local7,tag=nginx,severity=info;
11. Fuq is-server Rsyslog remot għandek bżonn tagħmel il-bidla li ġejja fil-fajl tal-konfigurazzjoni rsyslog, sabiex tirċievi r-zkuk mibgħuta mis-server tal-web Apache.
local1.* @Apache_IP_address:514
Dak kollox! Int ikkonfigurajt b'suċċess id-demon Rsyslog biex jaħdem fil-modalità klijent u, ukoll, ordnajt lil Apache HTTP server jew Nginx biex jgħaddi l-messaġġi log tiegħu lil server syslog remot.
F'każ li ġġarraf is-sistema, għandek tkun tista' tinvestiga l-problema billi tispezzjona l-kontenut tal-log files li huma maħżuna fuq is-server syslog remot.