Kaip nustatyti nuotolinį registravimą sistemoje „Linux“, naudojant rsyslog

Registravimas yra svarbus Linux serverio valdymo aspektas. Žurnalo pranešimai yra naudingi analizuojant pagrindines priežastis ir siekiant išvengti galimų klaidų ateityje. Serverio klaidų analizė ir derinimas yra pagrindinis IT inžinierių ir sistemos administratorių įgūdis.

Šis vadovas parodys, kaip Linux sistemoje nustatyti nuotolinį registravimo serverį, dar žinomą kaip žurnalo priegloba. Žurnalo priegloba leidžia kaupti vietinius „Linux“ žurnalus į nuotolinį centralizuotą serverį, kad būtų lengviau pasiekti ir analizuoti.

Kodėl verta turėti specialų žurnalo serverį?

„Linux“ operacinė sistema registruoja daugumą veiklos jūsų serveryje, kad galėtų tikrinti ir derinti naudojant syslog (sistemos registravimo protokolo) demoną. Taigi jums gali kilti klausimas, kodėl man reikalingas dedikuotas serveris mano žurnalams? Štai keletas specialiojo registravimo serverio pranašumų:

• Geresnis saugumas, nes nuotolinio registravimo serveryje yra tik keli prievadai, atviri į išorę.
• Pagerintas serverio veikimas, nes nuotolinio registravimo priegloba nevykdo daugelio paslaugų, išskyrus tas, kurios naudojamos registravimui.
  instagram viewer
• Palengvina žurnalo pranešimų archyvavimą ir valdymą.

Žurnalo pranešimai yra svarbūs tikrinant jūsų serverius ir bazinius parametrus ir yra pagrindinė serverio infrastruktūros profilaktinės priežiūros procedūrų dalis.

1 veiksmas: „rsyslog“ diegimas sistemoje „Linux“.

Šiame vadove pagrindinis dėmesys skiriamas Ubuntu 20.04, tačiau procesas turėtų būti beveik toks pat, jei naudojate kitas pagrindines Linux platinimo versijas.

„rsyslog“ yra nuotolinio registravimo paslauga, skirta „Linux“, pagal numatytuosius nustatymus įdiegta daugelyje šiuolaikinių „Linux“ platinimų, pavyzdžiui, „Ubuntu“ ir kitose „Debian“ pagrindu veikiančiose sistemose.

„rsyslog“ paslauga yra modernus ir patobulintas „syslog“ demonas, leidžiantis tvarkyti žurnalus tik vietoje. Naudodami rsyslog demoną galite nusiųsti vietinius žurnalus į tam tikrą sukonfigūruotą nuotolinį Linux serverį.

Jei jūsų kompiuteryje neįdiegtas rsyslog, tai galite lengvai padaryti naudodami šią komandą Debian pagrindu veikiančiose distribucijose:

sudo apt install rsyslog

„Red Hat Linux“ galite ją įdiegti įvesdami:

yum įdiegti rsyslog

„Fedora“ ir jos dariniuose paleiskite:

dnf įdiegti rsyslog

Norėdami įdiegti rsyslog „Arch Linux“:

taip -S rsyslog

Norėdami patikrinti rsyslog būseną, paleiskite šią komandą:

systemctl būsena rsyslog

Išvestis:

2 veiksmas: žurnalo pagrindinio serverio konfigūravimas

Žurnalo priegloba yra serveris, sukonfigūruotas gauti žurnalo pranešimus iš kitų serverių arba kompiuterių. Rsyslog konfigūracija yra /etc/rsyslog.conf failą.

Galite atidaryti /etc/rsyslog.conf failą naudojant bet koks jūsų pasirinktas teksto redaktorius. Šiame vadove naudosime Vim.

Norėdami pakeisti konfigūracijos failą, jums reikės aukštesnių privilegijų.

Prieš pradėdami redaguoti konfigūracijos failą, turėtumėte pasidaryti atsarginę failo kopiją. Norėdami tai padaryti, paleiskite komandą:

sudo cp /etc/rsyslog.conf /etc/rsyslog_original.config

Tada atidarykite /etc/rsyslog.conf failą naudodami teksto rengyklę.

sudo vim /etc/rsyslog.conf 

Yra du protokolai, kuriuos galite naudoti norėdami siųsti / gauti žurnalo failus su rsyslog: TCP ir UDP. Šiame vadove parodyta, kaip sukonfigūruoti abu.

Nereikia konfigūruoti UDP ir TCP, kad nuotolinis registravimas veiktų. Pasirinkite tik vieną iš dviejų.

Jei norite naudoti UDP, ieškokite ir panaikinkite šių eilučių komentarus, pašalindami pirmąją eilutę Svaras (#) simbolis prieš eilutes. Šias eilutes galite rasti konfigūracijos failo modulių skiltyje.

modulis (load = "imudp")
įvestis (type = "imudp" prievadas = "514")

Jei norite naudoti TCP, panaikinkite šių eilučių komentarus pašalindami pirmąją dalį Svaras (#) simbolis, esantis eilučių pradžioje:

modulis (load = "imtcp")
įvestis (type = "imtcp" port = "514")

Toliau pateiktame paveikslėlyje parodytas rsyslog konfigūracijos failas, sukonfigūruotas naudoti UDP ryšį:

Tada sukonfigūruokite vietą, kurioje rsyslog saugos jūsų žurnalus. Norėdami geriau organizuoti, turėtumėte suskirstyti gaunamus žurnalus pagal jų kilmę. Apibrėžkite šabloną rsyslog konfigūracijos faile pridėdami šias eilutes:

$template remote-incoming-logs, "/var/log/remote/%HOSTNAME%".log
*.* ?nuotoliniai gaunami žurnalai

Pirmiau minėtos eilutės komandą rsyslog saugo žurnalus aplanke /var/log/remote/hostname, kur pagrindinio kompiuterio pavadinimas yra nuotolinio kliento, siunčiančio žurnalo pranešimus į žurnalo pagrindinį kompiuterį, pavadinimas.

Dabar išsaugokite atliktus pakeitimus. Jei naudojate Vim, štai kaip išsaugoti ir uždaryti failą.

Galiausiai iš naujo paleiskite rsyslog paslaugas, kad jūsų atlikti pakeitimai įsigaliotų.

sudo systemctl iš naujo paleiskite rsyslog

3 veiksmas: užkardos konfigūravimas

Jei jūsų užkarda įjungta, įsitikinkite, kad anksčiau sukonfigūruotas prievadas gali susisiekti su išoriniu pasauliu. Turėsite redaguoti ugniasienės taisykles, kad leistų įvesti žurnalus.

Jei naudojate Debiano pagrindu veikiančius platinimo įrenginius, tiesiog naudokite UFW įrankį, kad įjungtumėte UDP arba TCP perdavimo protokolą.

Susijęs: Kaip sukonfigūruoti ugniasienę Ubuntu naudojant UFW

Jei naudojate UDP, paleiskite šią komandą, kur 514 yra sukonfigūruotas prievado numeris:

sudo ufw 514/udp

Jei naudojate TCP 514 prievade, tiesiog paleiskite:

sudo ufw 514/tcp

„Fedora“ galite naudoti ugniasienė-cmd pasiekti panašių rezultatų.

firewall-cmd --zone=zone --add-port=514/udp

Jei naudojate „Red Hat Linux“, atidarykite iptables failas, esantis adresu /etc/sysconfig/iptables naudodami pasirinktą teksto rengyklę ir pridėkite šią taisyklę:

-A ĮVESTIS -m būsena -būsena NAUJA -m udp -p udp -dport 514 -j PRIIMTI

Iš naujo paleiskite iptables paslaugą, kad pakeitimai įsigaliotų.

paslauga iptables paleidžiama iš naujo

4 veiksmas: registravimo kliento konfigūravimas

Klientas yra įrenginys, kuris siunčia savo žurnalus į nuotolinį arba centralizuotą žurnalo pagrindinį serverį. Atidarykite rsyslog konfigūracijos failą, esantį adresu /etc/rsyslog.conf:

sudo vim /etc/rsyslog.conf

Jei naudojate UDP, pridėkite šią eilutę, kur 192.168.12.123 yra nuotolinio serverio IP adresas, savo žurnalus rašysite adresu:

*.* @192.168.12.123:514

Jei naudojate TCP, pridėkite šią eilutę. Atkreipkite dėmesį, kad eilutėje yra dvi @ simboliai.

*.* @@192.168.12.123:514

Išsaugokite pakeitimus ir iš naujo paleiskite rsyslog paslaugą kliente naudodami komandą:

sudo systemctl iš naujo paleiskite rsyslog

5 veiksmas: peržiūrėkite žurnalo pranešimus serveryje

Galite naudoti SSH, kad prisijungtumėte prie nuotolinio serverio ir peržiūrėtumėte iš klientų serverių siunčiamus žurnalus. Šiuo atveju rsyslog yra sukonfigūruotas taip, kad jis saugotų kliento žurnalus /var/log/remote nuotolinio serverio katalogą.

cd /var/logs/remote

Tada nurodykite katalogo turinį naudodami ls komanda:

ls -l

Kaip matote išvestyje, kataloge yra įvardintų nuotolinių serverių žurnalo pranešimai andiwa ir rukuru. Jų žurnalo failai yra pavadinti andiwa.log ir rukuru.log atitinkamai.

Tada galite peržiūrėti žurnalo failus naudodami teksto rengyklę arba su Linux failų peržiūros įrankiai pavyzdžiui, katė ar mažiau.

Nuotolinis registravimas suteikia daugiau kontrolės

Šiame vadove apžvelgta, kaip Linux sistemoje nustatyti nuotolinio registravimo serverį (žurnalo prieglobą).

Žurnalo priegloba siūlo geresnį registravimo organizavimą ir valdymą. Net ir tais atvejais, kai sistema yra pažeista arba nepasiekiama, vis tiek galite peržiūrėti jos žurnalus iš žurnalo pagrindinio kompiuterio ir išsiaiškinti, kas nutiko.

Darbo su sistemos registravimu Linux sistemoje pradžia

Skaitykite toliau

Apie autorių