Som administratorer, IT -støttepersonell eller ledere i nettverk og systemområdet har vi noe grunnleggende for å hjelpe oss med å holde oversikt over hver hendelse som skjer i systemet, både på nivå med brukere, applikasjoner eller selve systemet, og disse er arrangementer.
Hver hendelse registrerer en rekke elementer som hjelper oss å detaljere bestemme hver aktivitet med verdier som dato, klokkeslett, ID, bruker og hendelse som skjedde, og dermed tillate oss en mye mer sentralisert styring og administrasjon.
Vi kan se at hver post tilhører en annen kategori, for eksempel system, sikkerhet, etc.
I Linux -miljøer har vi til rådighet Rsyslog -verktøyet som det vil være mulig å håndtere disse hendelsene på en enkel og fullstendig måte.
Hva er RsyslogRsyslog (rakett -raskt system for logg - hurtig system for loggbehandling) er et verktøy designet for å tilby høy ytelse, utmerkede sikkerhetsfunksjoner og en modulær design som gjør at den kan skaleres for å passe ethvert selskap.
Rsyslog er i stand til å godta innspill fra en lang rekke kilder, transformere dem og generere resultater for forskjellige destinasjoner, og optimalisere IT -ledelsen.
RSYSLOG er i stand til å levere mer enn en million meldinger per sekund til lokale destinasjoner når begrenset behandling brukes, inkludert eksterne destinasjoner.
Rsyslog -funksjonerNår du bruker Rsyslog vil vi ha funksjoner som:
- $ LocalHostName [name] -direktiv: Dette direktivet lar oss overskrive vertsnavnet til systemet med det som er angitt i direktivet. Hvis direktivet gis flere ganger, ignoreres alle unntatt det siste.
- Lagt til Hadoop HDFS -støtte.
- Den har en impstat -modul for å kjøre periodisk statistikk på Rsyslog -tellerne.
- Den har imptcp -plugin.
- Inkluderer en ny type "strenggenerator" -modul, som brukes for å øke hastigheten på utdatabehandlingen.
- Støtter OSX og Solaris.
- Evne til å lage tilpassede meldingstolkere.
- Støtte for flere regler for imudp.
- Nytt grensesnitt for transaksjonsmoduler som gir overlegen ytelse.
- Multi-threading
- Støtter TCP, SSL, TLS, RELP protokoller
- Støtter MySQL, PostgreSQL, Oracle og mer
- Filtrer alle deler av syslog -meldingen
- Fullt konfigurerbart utdataformat
- Passer for kringkastingsnettverk i forretningsklasse
Rsyslog -filtreringRsyslog kan filtrere syslog -meldinger basert på utvalgte egenskaper og handlinger, disse filtrene er:
- Anleggs- eller prioritetsfiler
- Eiendomsbaserte filtre
- Uttrykksbaserte filtre
Anleggsfilteret er representert av det interne Linux -delsystemet som er ansvarlig for å produsere postene, vi har følgende alternativer:
- auth / authpriv = De er meldingene som produseres av autentiseringsprosesser
- cron = De er poster knyttet til cron -oppgaver
- daemon = Dette er meldinger relatert til systemtjenestene som kjører
- kernel = Angir Linux -kjernemeldinger
- mail = Inkluderer meldinger fra e -postserveren
- syslog = De er meldinger relatert til syslog eller andre demoner
- lpr = Dekker skrivere eller utskriftsservermeldinger
- local0 - local7 = Tell tilpassede meldinger under administratorkontroll
- emerge = Emergency - 0
- alert = Varsler - 1
- err = Feil - 3
- advarsel = Advarsler - 4
- varsel = merknad - 5
- info = Informasjon - 6
- debbug = Debugging - 7
1. Hvordan konfigurere og sjekke statusen til Rsyslog i Linux
Trinn 1
Rsyslog -demonen installeres automatisk på de fleste Linux -distribusjoner, men hvis ikke må vi kjøre følgende kommandoer:
På Debian -systemer
sudo apt-get install Rsyslog
På RedHat- eller CentOS -systemer
sudo yum installer Rsyslog
Steg 2
Vi kan kontrollere den nåværende statusen til Rsyslog ved å utføre følgende linje:
På Linux -distribusjoner som bruker Systemd
systemctl status rsyslog.service
I eldre versjoner av Linux
service rsyslog status /etc/init.d/rsyslog status
FORSTØRRE
Trinn 3
Hvis statusen til Rsyslog -tjenesten er inaktiv, kan vi starte den ved å utføre følgende:
I nye versjoner av Linux
systemctl starter rsyslog.service
I eldre versjoner av Linux
service rsyslog start /etc/init.d/rsyslog start
FORSTØRRE
2. Rsyslog -konfigurasjon på Linux
For å konfigurere et rsyslog -program til å kjøre i servermodus, må vi redigere konfigurasjonsfilen i katalogen /etc/rsyslog.conf.
Trinn 1
Vi får tilgang ved hjelp av ønsket redaktør:
sudo nano /etc/rsyslog.conf
FORSTØRRE
Steg 2
Der vil vi gjøre følgende endringer. Finn og ikke kommenter, fjern skiltet (#) fra følgende linjer for å tillate mottak av UDP -loggmeldinger på port 514. UDP -porten brukes som standard av syslog for å sende og motta meldinger:
$ ModLoad imudp $ UDPServerRun 514Trinn 3
UDP -protokollen er ikke pålitelig for å utveksle data over et nettverk, så vi kan konfigurere Rsyslog til å sende loggmeldinger til en ekstern server via TCP -protokollen. For å aktivere TCP -mottaksprotokollen fjerner vi følgende linjer:
$ ModLoad imtcp $ InputTCPServerRun 514Trinn 4
Dette vil tillate rsyslog -demonen å binde og lytte til en TCP -sokkel på port 514.
Begge protokollene kan aktiveres i rsyslog for å kjøre samtidig på Linux.
Hvis det er nødvendig å spesifisere hvilke avsendere som har tilgang til rsyslog -demonen, må vi legge til følgende linjer:
$ AllowedSender TCP, 127.0.0.1, 192.168.0.5/24, * .domain.com
FORSTØRRE
Trinn 5
På dette tidspunktet vil det være nødvendig å lage en ny mal som vil bli analysert av rsyslog -demonen før du mottar de innkommende loggene. Denne malen skal fortelle den lokale Rsyslog -serveren hvor innkommende loggmeldinger skal lagres. Denne malen går etter $ AllowedSender -linjen:
$ template Incoming-logger, " / var / log /% HOSTNAME% /% PROGRAMNAME% .log" *. *? Incoming-logger & ~
FORSTØRRE
Trinn 6
For å registrere bare meldingene generert av kern vil vi legge til følgende. Med ovenstående analyseres de mottatte postene av malen og lagres i det lokale filsystemet i / var / log / katalogen, i banen:% HOSTNAME% og% PROGRAMNAME%.
kern. *? Innkommende loggerTrinn 7
Vi kan lagre endringene ved hjelp av følgende tastekombinasjon:
Ctrl + O.
Vi forlater redaktøren ved hjelp av:
Ctrl + X
3. Start tjenesten på nytt og sjekk Rsyslog -porter på Linux
Trinn 1
Når vi gjør noen form for endring, må vi starte tjenesten på nytt ved å utføre ett av følgende alternativer:
sudo service rsyslog restart sudo systemctl restart RsyslogSteg 2
For å kontrollere portene som brukes av Rsyslog vil vi utføre følgende:
sudo netstat -tulpn | grep rsyslogTrinn 3
Som vi har angitt, vil porten som brukes være 514, vi må aktivere den i brannmuren for bruk med følgende linjer.
På RedHat og CentOS
firewall-cmd --permanent --add-port = 514 / tcp firewall-cmd -reload
I Debian
ufw tillate 514 / tcp ufw tillate 514 / udpHvis vi bruker IPTables:
iptables -A INPUT -p tcp -m tcp --dport 514 -j ACCEPT iptables -A INPUT -p udp --dport 514 -j ACCEPT
FORSTØRRE
På denne måten har vi installert Rsyslog i Linux for å administrere de forskjellige loggtypene som stadig genereres i den.