Távoli naplózás beállítása Linuxon az rsyslog használatával

A naplózás a Linux szerverkezelés kritikus aspektusa. A naplóüzenetek hasznosak a kiváltó okok elemzéséhez és a jövőbeni lehetséges hibák elkerüléséhez. A szerverhibák elemzése és hibakeresése mind az informatikai mérnökök, mind a rendszergazdák alapvető készsége.

Ez az útmutató bemutatja, hogyan állíthat be távoli naplózószervert, más néven naplógazdagépet Linuxon. A naplógazda lehetővé teszi a helyi Linux naplók összesítését egy távoli központosított kiszolgálóra a könnyebb hozzáférés és elemzés érdekében.

Miért van dedikált naplószerver?

A Linux operációs rendszer a legtöbb tevékenységet a kiszolgálón naplózza a rendszernaplózási protokoll (rendszernaplózási protokoll) démon segítségével történő ellenőrzés és hibakeresés céljából. Szóval felmerülhet a kérdés, miért van szükségem dedikált szerverre a naplóimhoz? Íme néhány előnye a dedikált naplózószervernek:

• Jobb biztonság, mert a távoli naplózószervernek csak néhány portja van nyitva.
• A szerver teljesítménye jobb, mert a távoli naplózó gazdagép nem futtat sok szolgáltatást, kivéve a naplózáshoz használtakat.
instagram viewer
• Megkönnyíti a naplóüzenetek archiválását és kezelését.

A naplóüzenetek fontosak a kiszolgálók auditálásához és az alaprendszerhez, és a kiszolgálói infrastruktúra megelőző karbantartási eljárásainak alapvető részét képezik.

1. lépés: Az rsyslog telepítése Linuxra

Ez az útmutató az Ubuntu 20.04-re összpontosít, de a folyamatnak nagyjából azonosnak kell lennie, ha más mainstream Linux disztribúciókat használ.

Az rsyslog egy távoli naplózási szolgáltatás Linuxhoz, és alapértelmezés szerint előre telepítve van a legtöbb modern Linux disztribúción, például az Ubuntu és más Debian-alapú rendszereken.

Az rsyslog szolgáltatás a syslog modern és továbbfejlesztett démonja, amely csak a naplók helyi kezelését teszi lehetővé. Az rsyslog démonnal elküldheti helyi naplóit valamilyen beállított távoli Linux-kiszolgálóra.

Ha nincs telepítve az rsyslog a számítógépére, akkor ezt egyszerűen megteheti a következő paranccsal Debian-alapú disztribúciókon:

sudo apt install rsyslog

Red Hat Linux rendszeren a következő beírásával telepítheti:

yum telepítse az rsyslog-ot

A Fedorán és származékain futtassa:

dnf telepítse az rsyslog-ot

Az rsyslog telepítése Arch Linuxra:

jaj -S rsyslog

Az rsyslog állapotának ellenőrzéséhez futtassa a következő parancsot:

systemctl állapot rsyslog

Kimenet:

2. lépés: A Log Host Server konfigurálása

A naplógazda az a kiszolgáló, amely úgy van beállítva, hogy fogadja a naplóüzeneteket más szerverekről vagy számítógépekről. Az rsyslog konfigurációja a /etc/rsyslog.conf fájlt.

Megnyithatja a /etc/rsyslog.conf fájl használatával tetszőleges szövegszerkesztő. Ebben az útmutatóban a Vim-et fogjuk használni.

A konfigurációs fájl módosításához magasabb szintű jogosultságra lesz szüksége.

A konfigurációs fájl szerkesztésének megkezdése előtt készítsen biztonsági másolatot vagy másolatot a fájlról. Ehhez futtassa a parancsot:

sudo cp /etc/rsyslog.conf /etc/rsyslog_original.config

Ezután nyissa meg a /etc/rsyslog.conf fájl szövegszerkesztővel.

sudo vim /etc/rsyslog.conf 

Két protokoll használható naplófájlok küldésére/fogadására rsyslog segítségével: TCP és UDP. Ez az útmutató bemutatja, hogyan kell mindkettőt konfigurálni.

A távoli naplózás működéséhez nem kell egyszerre konfigurálnia az UDP-t és a TCP-t. Csak egyet válassz a kettő közül.

Ha inkább UDP-t szeretne használni, keresse meg és törölje a megjegyzéseket a következő sorokból úgy, hogy eltávolítja a vezető részt Font (#) szimbólum a sorok előtt. Ezeket a sorokat a konfigurációs fájl modulok része alatt találja.

modul (load="imudp")
bemenet (type="imudp" port="514")

Ha szívesebben használja a TCP-t, törölje a következő sorok megjegyzéseit a bevezető eltávolításával Font (#) szimbólum a sorok elején:

modul (load="imtcp")
bemenet (type="imtcp" port="514")

A következő ábra az UDP-kommunikáció használatára konfigurált rsyslog konfigurációs fájlt mutatja:

Ezután állítsa be azt a helyet, ahol az rsyslog tárolja a naplókat. A jobb szervezés érdekében a bejövő naplókat eredetük szerint kell kategorizálni. Határozzon meg egy sablont az rsyslog konfigurációs fájljában a következő sorok hozzáadásával:

$template remote-incoming-logs, "/var/log/remote/%HOSTNAME%".log
*.* ?távoli-bejövő-naplók

A fent említett sorok az rsyslog parancsot adják, hogy a naplókat a mappában tárolják /var/log/remote/hostname, ahol gazdagépnév a távoli kliens neve, amely naplóüzeneteket küld a naplógazda számára.

Most mentse el az elvégzett módosításokat. Ha Vim-et használ, itt van, hogyan menthet el és kiléphet egy fájlból.

Végül indítsa újra az rsyslog szolgáltatásokat, hogy az elvégzett módosítások életbe lépjenek.

sudo systemctl indítsa újra az rsyslogot

3. lépés: A tűzfal konfigurálása

Ha a tűzfal engedélyezve van, győződjön meg arról, hogy a fent beállított port képes kommunikálni a külvilággal. A bejövő naplók engedélyezéséhez módosítania kell a tűzfalszabályokat.

Debian-alapú disztribúciók esetén egyszerűen használja az UFW eszközt az UDP vagy a TCP átviteli protokoll engedélyezéséhez.

Összefüggő: A tűzfal konfigurálása Ubuntuban UFW használatával

Ha UDP-t használ, futtassa a következő parancsot, ahol 514 a konfigurált portszám:

sudo ufw 514/udp

Ha TCP-t használ az 514-es porton, egyszerűen futtassa:

sudo ufw 514/tcp

Fedorán használhatod tűzfal-cmd hasonló eredmények elérésére.

firewall-cmd --zone=zone --add-port=514/udp

Red Hat Linux esetén nyissa meg a iptables címen található fájl /etc/sysconfig/iptables a választott szövegszerkesztővel, és adja hozzá a következő szabályt:

-A BEMENET -m állapot -állapot ÚJ -m udp -p udp --dport 514 -j ELFOGADÁS

A változtatások életbe lépéséhez indítsa újra az iptables szolgáltatást.

az iptables szolgáltatás újraindul

4. lépés: A naplózó kliens konfigurálása

Az ügyfél az a gép, amely elküldi naplóit egy távoli vagy központi naplógazdaszervernek. Nyissa meg a címen található rsyslog konfigurációs fájlt /etc/rsyslog.conf:

sudo vim /etc/rsyslog.conf

Adja hozzá a következő sort, ha UDP-t használ, ahol 192.168.12.123 a távoli szerver IP-címe, a naplókat a következő címre fogja írni:

*.* @192.168.12.123:514

Ha TCP-t használ, adja hozzá a következő sort. Vegye figyelembe, hogy a sornak kettő van @ szimbólumok.

*.* @@192.168.12.123:514

Mentse el a változtatásokat, és indítsa újra az rsyslog szolgáltatást az ügyfélen a következő paranccsal:

sudo systemctl indítsa újra az rsyslogot

5. lépés: A naplóüzenetek megtekintése a szerveren

Az SSH segítségével bejelentkezhet a távoli kiszolgálóra, és megtekintheti az ügyfélkiszolgálókról küldött naplókat. Ebben az esetben az rsyslog úgy van beállítva, hogy az ügyfélnaplókat a /var/log/remote a távoli szerver könyvtárát.

cd /var/logs/remote

Ezután listázza ki a könyvtár tartalmát a segítségével az ls parancsot:

ls -l

Amint a kimeneten látható, a könyvtár naplóüzeneteket tartalmaz a megnevezett távoli kiszolgálókhoz andiwa és rukuru. A naplófájljaik el vannak nevezve andiwa.log és rukuru.log illetőleg.

Ezután megtekintheti a naplófájlokat egy szövegszerkesztővel vagy azzal Linux fájlmegtekintési eszközök mint a macska vagy kevesebb.

A távoli naplózás több irányítást biztosít

Ez az útmutató megvizsgálja, hogyan állíthat be távoli naplózószervert (naplógazdagépet) Linuxon.

A naplógazda jobb rendszerezést és irányítást kínál a naplózás során. Még olyan esetekben is, amikor a rendszer megsérült vagy elérhetetlen, továbbra is megtekintheti a naplóit a naplógazdagépről, és kiderítheti, mi hibázott.

A rendszernaplózás kezdő lépései Linux alatt

Olvassa el a következőt

A szerzőről