Issettja Log Server Ċentralizzat b'Rsyslog f'CentOS/RHEL 8

Sabiex amministraturi tas-sistema jirrikonoxxu jew janalizzaw il-problemi fuq server CentOS 8 jew RHEL 8, huwa importanti li tkun taf u tara l-avvenimenti li seħħew fuq is-server f'perjodu ta' żmien partikolari minn log files misjuba f'/var. /log id-direttorju fis-sistema.

Is-sistema Syslog (System Logging Protocol) fuq is-server tista’ taġixxi bħala punt ċentrali ta’ monitoraġġ ta’ log fuq netwerk fejn is-servers, l-apparati tan-netwerk, is-swiċċijiet, ir-routers u s-servizzi interni kollha li joħolqu zkuk, kemm jekk marbuta mal-kwistjoni interna partikolari jew sempliċement messaġġi informattivi jistgħu jibagħtu zkuk tagħhom.

Fuq server CentOS/RHEL 8, Rsyslog daemon huwa l-aktar importanti log server li jiġi installat minn qabel b'mod awtomatiku, segwit minn Systemd Journal Daemon (journald).

Rsyslog hija utilità open-source, żviluppata bħala servizz ta 'arkitettura klijent/server u tista' tikseb iż-żewġ rwoli b'mod indipendenti. Jista' jaħdem bħala server u jiġbor ir-reġistri kollha trażmessi minn apparati oħra fuq in-netwerk jew jista' jaħdem bħala klijent billi jibgħat l-avvenimenti interni kollha tas-sistema illoggjati lil server Syslog remot.

  1. Installazzjoni ta' \CentOS 8.0″ bi Screenshots
  2. Installazzjoni ta' RHEL 8 bi Screenshots

Sabiex twaqqaf log server ċentralizzat fuq server CentOS/RHEL 8, trid tiċċekkja tikkonferma li l-partizzjoni /var għandha spazju biżżejjed (minimu ftit GB) biex taħżen il-fajls tal-log irreġistrati kollha fuq is-sistema li tibgħat minn apparati oħra fuq in-netwerk. Nirrakkomandalek li jkollok drive separat (LVM jew RAID) biex timmonta d-direttorju /var/log/.

Kif tikkonfigura Rsyslog Server f'CentOS/RHEL 8

1. Kif għidt, is-servizz Rsyslog huwa installat u jaħdem awtomatikament fis-server CentOS/RHEL 8. Sabiex tivverifika li d-daemon qed jaħdem fis-sistema, mexxi l-kmand li ġej.

# systemctl status rsyslog.service

Jekk is-servizz ma jkunx qed jaħdem b'mod awtomatiku, ħaddem il-kmand li ġej biex tibda rsyslog daemon.

# systemctl start rsyslog.service

2. Jekk l-utilità Rsyslog mhix installata awtomatikament fis-sistema li qed tippjana li tuża bħala server ta 'logging ċentralizzat, ħaddem il-kmand dnf li ġej biex tinstalla l-pakkett rsyslog u ibda d-daemon.

# dnf install rsyslog
# systemctl start rsyslog.service

3. Ladarba l-utilità Rsyslog tkun installata, issa tista 'tikkonfigura rsyslog bħala server ta' logging ċentralizzat billi tiftaħ il-fajl ta 'konfigurazzjoni prinċipali /etc/rsyslog.conf, sabiex tirċievi messaġġi log għal klijenti esterni.

# vi /etc/rsyslog.conf

Fil-fajl tal-konfigurazzjoni /etc/rsyslog.conf, sib u neħħi l-kumment tal-linji li ġejjin biex tagħti riċeviment tat-trasport UDP lis-server Rsyslog permezz tal-port 514. Rsyslog juża l-protokoll UDP standard għat-trażmissjoni tal-log.

module(load="imudp") # needs to be done just once
input(type="imudp" port="514")

4. Il-protokoll UDP m'għandux l-overhead TCP, u jagħmel it-trażmissjoni tad-dejta aktar mgħaġġla mill-protokoll TCP. Min-naħa l-oħra, il-protokoll UDP ma jiggarantixxix l-affidabbiltà tad-dejta trażmessa.

Madankollu, jekk trid tuża l-protokoll TCP għar-riċeviment ta’ log trid issib u tneħħi l-kumment tal-linji li ġejjin fil-/etc/rsyslog.conf il-fajl tal-konfigurazzjoni sabiex tikkonfigura d-daemon Rsyslog biex jorbot u tisma’ socket TCP fuq il-port 514.

module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514")

5. Issa oħloq mudell ġdid biex tirċievi messaġġi remoti, peress li dan il-mudell jiggwida s-server Rsyslog lokali, fejn issalva l-messaġġi riċevuti mibgħuta mill-klijenti tan-netwerk Syslog.

$template RemoteLogs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
*.* ?RemoteLogs

Id-direttiva $template RemoteLogs tiggwida lil Rsyslog daemon biex jiġbor u jikteb il-messaġġi kollha tar-reġistri trażmessi f'fajls distinti, ibbażati fuq l-isem tal-klijent u l-applikazzjoni remota tal-klijent li ħolqu l-messaġġi bbażati fuq il-proprjetajiet deskritti miżjuda fil- konfigurazzjoni tal-mudell: %HOSTNAME% u %PROGRAMNAME%.

Il-fajls tal-log kollha riċevuti se jinkitbu fis-sistema tal-fajls lokali f'fajl allokat msemmi wara l-isem tal-hostname tal-magna tal-klijent u jinżammu fid-direttorju /var/log/.

Ir-regola ta' redirect & ~ tidderieġi lis-server Rsyslog lokali biex iwaqqaf l-ipproċessar tal-messaġġ log riċevut aktar u jneħħi l-messaġġi (mhux jiktebhom fil-fajls log interni).

Il-RemoteLogs huwa isem arbitrarju mogħti lil din id-direttiva mudell. Tista 'tuża kwalunkwe isem li trid l-aktar adattat għall-mudell tiegħek.

Biex tikkonfigura mudelli Rsyslog aktar kumplessi, aqra l-manwal tal-fajl tal-konfigurazzjoni Rsyslog billi tħaddem il-kmand man rsyslog.conf jew ikkonsulta d-dokumentazzjoni online Rsyslog.

# man rsyslog.conf

6. Wara li tagħmel il-bidliet fil-konfigurazzjoni ta 'hawn fuq, tista' terġa 'tibda d-daemon Rsyslog sabiex tapplika bidliet riċenti billi tħaddem il-kmand li ġej.

# service rsyslog restart

7. Ladarba tkun bdejt mill-ġdid is-server Rsyslog, issa għandu jaġixxi bħala server ta 'log ċentralizzat u jirreġistra messaġġi mill-klijenti Syslog. Biex tikkonferma s-sokits tan-netwerk Rsyslog, ħaddem l-utilità grep biex tiffiltra l-istring rsyslog.

# netstat -tulpn | grep rsyslog

Jekk il-kmand netstat ma jkunx installat fuq CentOS 8, tista 'tinstallah billi tuża l-kmand li ġej.

# dnf whatprovides netstat
# dnf install net-tools

8. Jekk għandek SELinux attiv f'CentOS/RHEL 8, mexxi l-kmand li ġej biex tippermetti traffiku rsyslog skont it-tip ta 'socket tan-netwerk.

# semanage port -a -t syslogd_port_t -p udp 514
# semanage port -a -t syslogd_port_t -p tcp 514

Jekk il-kmand semanage ma jinstallax fuq CentOS 8, tista 'tinstallah billi tuża l-kmand li ġej.

# dnf whatprovides semanage
# dnf install policycoreutils-python-utils

9. Jekk għandek firewall attiv fis-sistema, mexxi l-kmand li ġej sabiex iżżid ir-regoli meħtieġa biex tippermetti t-traffiku rsyslog fuq portijiet f'Firewalld.

# firewall-cmd --permanent --add-port=514/tcp
# firewall-cmd --permanent --add-port=514/udp
# firewall-cmd --reload

Tista 'wkoll tillimita l-konnessjonijiet li deħlin fuq il-port 514 minn firxiet IP fil-lista bajda kif muri.

# firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="123.123.123.0/21" port port="514" protocol="tcp" accept'
# firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="123.123.123.0/21" port port="514" protocol="udp" accept'
# firewall-cmd --reload

Dak kollox! Rsyslog issa huwa kkonfigurat bħala server ċentralizzar ta 'zkuk u jista' jiġbor zkuk minn klijenti remoti. Fl-artiklu li jmiss, se naraw kif tikkonfigura l-klijent Rsyslog fuq is-server CentOS/RHEL 8.