Issettja Log Server Ċentralizzat b'Rsyslog f'CentOS/RHEL 8
Sabiex amministraturi tas-sistema jirrikonoxxu jew janalizzaw il-problemi fuq server CentOS 8 jew RHEL 8, huwa importanti li tkun taf u tara l-avvenimenti li seħħew fuq is-server f'perjodu ta' żmien partikolari minn log files misjuba f'/var. /log
id-direttorju fis-sistema.
Is-sistema Syslog (System Logging Protocol) fuq is-server tista’ taġixxi bħala punt ċentrali ta’ monitoraġġ ta’ log fuq netwerk fejn is-servers, l-apparati tan-netwerk, is-swiċċijiet, ir-routers u s-servizzi interni kollha li joħolqu zkuk, kemm jekk marbuta mal-kwistjoni interna partikolari jew sempliċement messaġġi informattivi jistgħu jibagħtu zkuk tagħhom.
Fuq server CentOS/RHEL 8, Rsyslog daemon huwa l-aktar importanti log server li jiġi installat minn qabel b'mod awtomatiku, segwit minn Systemd Journal Daemon (journald).
Rsyslog hija utilità open-source, żviluppata bħala servizz ta 'arkitettura klijent/server u tista' tikseb iż-żewġ rwoli b'mod indipendenti. Jista' jaħdem bħala server u jiġbor ir-reġistri kollha trażmessi minn apparati oħra fuq in-netwerk jew jista' jaħdem bħala klijent billi jibgħat l-avvenimenti interni kollha tas-sistema illoggjati lil server Syslog remot.
- Installazzjoni ta' \CentOS 8.0″ bi Screenshots
- Installazzjoni ta' RHEL 8 bi Screenshots
Sabiex twaqqaf log server ċentralizzat fuq server CentOS/RHEL 8, trid tiċċekkja tikkonferma li l-partizzjoni /var
għandha spazju biżżejjed (minimu ftit GB) biex taħżen il-fajls tal-log irreġistrati kollha fuq is-sistema li tibgħat minn apparati oħra fuq in-netwerk. Nirrakkomandalek li jkollok drive separat (LVM jew RAID) biex timmonta d-direttorju /var/log/
.
Kif tikkonfigura Rsyslog Server f'CentOS/RHEL 8
1. Kif għidt, is-servizz Rsyslog huwa installat u jaħdem awtomatikament fis-server CentOS/RHEL 8. Sabiex tivverifika li d-daemon qed jaħdem fis-sistema, mexxi l-kmand li ġej.
# systemctl status rsyslog.service
Jekk is-servizz ma jkunx qed jaħdem b'mod awtomatiku, ħaddem il-kmand li ġej biex tibda rsyslog daemon.
# systemctl start rsyslog.service
2. Jekk l-utilità Rsyslog mhix installata awtomatikament fis-sistema li qed tippjana li tuża bħala server ta 'logging ċentralizzat, ħaddem il-kmand dnf li ġej biex tinstalla l-pakkett rsyslog u ibda d-daemon.
# dnf install rsyslog # systemctl start rsyslog.service
3. Ladarba l-utilità Rsyslog tkun installata, issa tista 'tikkonfigura rsyslog bħala server ta' logging ċentralizzat billi tiftaħ il-fajl ta 'konfigurazzjoni prinċipali /etc/rsyslog.conf, sabiex tirċievi messaġġi log għal klijenti esterni.
# vi /etc/rsyslog.conf
Fil-fajl tal-konfigurazzjoni /etc/rsyslog.conf, sib u neħħi l-kumment tal-linji li ġejjin biex tagħti riċeviment tat-trasport UDP lis-server Rsyslog permezz tal-port 514. Rsyslog juża l-protokoll UDP standard għat-trażmissjoni tal-log.
module(load="imudp") # needs to be done just once input(type="imudp" port="514")
4. Il-protokoll UDP m'għandux l-overhead TCP, u jagħmel it-trażmissjoni tad-dejta aktar mgħaġġla mill-protokoll TCP. Min-naħa l-oħra, il-protokoll UDP ma jiggarantixxix l-affidabbiltà tad-dejta trażmessa.
Madankollu, jekk trid tuża l-protokoll TCP għar-riċeviment ta’ log trid issib u tneħħi l-kumment tal-linji li ġejjin fil-/etc/rsyslog.conf il-fajl tal-konfigurazzjoni sabiex tikkonfigura d-daemon Rsyslog biex jorbot u tisma’ socket TCP fuq il-port 514.
module(load="imtcp") # needs to be done just once input(type="imtcp" port="514")
5. Issa oħloq mudell ġdid biex tirċievi messaġġi remoti, peress li dan il-mudell jiggwida s-server Rsyslog lokali, fejn issalva l-messaġġi riċevuti mibgħuta mill-klijenti tan-netwerk Syslog.
$template RemoteLogs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" *.* ?RemoteLogs
Id-direttiva $template RemoteLogs
tiggwida lil Rsyslog daemon biex jiġbor u jikteb il-messaġġi kollha tar-reġistri trażmessi f'fajls distinti, ibbażati fuq l-isem tal-klijent u l-applikazzjoni remota tal-klijent li ħolqu l-messaġġi bbażati fuq il-proprjetajiet deskritti miżjuda fil- konfigurazzjoni tal-mudell: %HOSTNAME% u %PROGRAMNAME%
.
Il-fajls tal-log kollha riċevuti se jinkitbu fis-sistema tal-fajls lokali f'fajl allokat msemmi wara l-isem tal-hostname tal-magna tal-klijent u jinżammu fid-direttorju /var/log/.
Ir-regola ta' redirect & ~
tidderieġi lis-server Rsyslog lokali biex iwaqqaf l-ipproċessar tal-messaġġ log riċevut aktar u jneħħi l-messaġġi (mhux jiktebhom fil-fajls log interni).
Il-RemoteLogs
huwa isem arbitrarju mogħti lil din id-direttiva mudell. Tista 'tuża kwalunkwe isem li trid l-aktar adattat għall-mudell tiegħek.
Biex tikkonfigura mudelli Rsyslog aktar kumplessi, aqra l-manwal tal-fajl tal-konfigurazzjoni Rsyslog billi tħaddem il-kmand man rsyslog.conf jew ikkonsulta d-dokumentazzjoni online Rsyslog.
# man rsyslog.conf
6. Wara li tagħmel il-bidliet fil-konfigurazzjoni ta 'hawn fuq, tista' terġa 'tibda d-daemon Rsyslog sabiex tapplika bidliet riċenti billi tħaddem il-kmand li ġej.
# service rsyslog restart
7. Ladarba tkun bdejt mill-ġdid is-server Rsyslog, issa għandu jaġixxi bħala server ta 'log ċentralizzat u jirreġistra messaġġi mill-klijenti Syslog. Biex tikkonferma s-sokits tan-netwerk Rsyslog, ħaddem l-utilità grep biex tiffiltra l-istring rsyslog.
# netstat -tulpn | grep rsyslog
Jekk il-kmand netstat ma jkunx installat fuq CentOS 8, tista 'tinstallah billi tuża l-kmand li ġej.
# dnf whatprovides netstat # dnf install net-tools
8. Jekk għandek SELinux attiv f'CentOS/RHEL 8, mexxi l-kmand li ġej biex tippermetti traffiku rsyslog skont it-tip ta 'socket tan-netwerk.
# semanage port -a -t syslogd_port_t -p udp 514 # semanage port -a -t syslogd_port_t -p tcp 514
Jekk il-kmand semanage ma jinstallax fuq CentOS 8, tista 'tinstallah billi tuża l-kmand li ġej.
# dnf whatprovides semanage # dnf install policycoreutils-python-utils
9. Jekk għandek firewall attiv fis-sistema, mexxi l-kmand li ġej sabiex iżżid ir-regoli meħtieġa biex tippermetti t-traffiku rsyslog fuq portijiet f'Firewalld.
# firewall-cmd --permanent --add-port=514/tcp # firewall-cmd --permanent --add-port=514/udp # firewall-cmd --reload
Tista 'wkoll tillimita l-konnessjonijiet li deħlin fuq il-port 514 minn firxiet IP fil-lista bajda kif muri.
# firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="123.123.123.0/21" port port="514" protocol="tcp" accept' # firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="123.123.123.0/21" port port="514" protocol="udp" accept' # firewall-cmd --reload
Dak kollox! Rsyslog issa huwa kkonfigurat bħala server ċentralizzar ta 'zkuk u jista' jiġbor zkuk minn klijenti remoti. Fl-artiklu li jmiss, se naraw kif tikkonfigura l-klijent Rsyslog fuq is-server CentOS/RHEL 8.