Persediaan pelayan log berpusat dengan rsyslog di CentOS/RHEL 8

Agar pentadbir sistem mengiktiraf atau menganalisis masalah pada a Centos 8 atau RHEL 8 pelayan, adalah penting untuk mengetahui dan melihat peristiwa yang berlaku di pelayan dalam tempoh masa tertentu dari fail log yang terdapat di /var/log direktori dalam sistem.

The Syslog (Protokol Pembalakan Sistem) Sistem di pelayan boleh bertindak sebagai titik pemantauan log pusat melalui rangkaian di mana semua pelayan, peranti rangkaian, suis, router dan perkhidmatan dalaman yang membuat log, sama ada dikaitkan dengan isu dalaman tertentu atau hanya mesej bermaklumat dapat menghantar log mereka.

Di atas Centos/RHEL 8 pelayan, Rsyslog Daemon adalah pelayan log terpenting yang disiarkan secara lalai, diikuti oleh Sistem Daemon Jurnal (jurnal).

Rsyslog adalah utiliti sumber terbuka, dibangunkan sebagai perkhidmatan seni bina klien/pelayan dan dapat mencapai kedua-dua peranan secara bebas. Ia boleh dijalankan sebagai pelayan dan mengumpulkan semua log yang dihantar oleh peranti lain melalui rangkaian atau ia boleh dijalankan sebagai pelanggan dengan menghantar semua peristiwa sistem dalaman yang dilog masuk ke jauh Syslog pelayan.

Keperluan

1. Pemasangan "CentOS 8.0 "dengan tangkapan skrin
2. Pemasangan RHEL 8 dengan tangkapan skrin

Untuk menyediakan pelayan log terpusat pada a Centos/RHEL 8 pelayan, anda perlu memeriksa mengesahkan bahawa /var Partition mempunyai ruang yang cukup (minimum GB minimum) untuk menyimpan semua fail log yang direkodkan pada sistem yang dihantar oleh peranti lain di rangkaian. Saya cadangkan anda mempunyai pemacu berasingan (Lvm atau RAID) untuk melancarkan /var/log/ direktori.

Cara Mengkonfigurasi Pelayan RSYSLOG di CentOS/RHEL 8

1. Seperti yang saya katakan, Rsyslog perkhidmatan dipasang dan berjalan secara automatik di Centos/RHEL 8 pelayan. Untuk mengesahkan bahawa daemon sedang berjalan dalam sistem, jalankan arahan berikut.

# status sistem rsyslog.perkhidmatan 

Sekiranya perkhidmatan tidak berjalan secara lalai, jalankan arahan berikut untuk memulakan rsyslog Daemon.

# Systemctl Mula Rsyslog.perkhidmatan 

2. Jika Rsyslog Utiliti tidak dipasang secara lalai pada sistem yang anda merancang untuk digunakan sebagai pelayan pembalakan berpusat, jalankan arahan DNF berikut untuk memasang pakej rsyslog dan mulakan daemon.

# DNF Pasang RSYSLOG # Systemctl Mula RSYSLOG.perkhidmatan 

3. Sekali Rsyslog Utiliti dipasang, kini anda boleh mengkonfigurasi rsyslog sebagai pelayan pembalakan berpusat dengan membuka fail konfigurasi utama /etc/rsyslog.Conf, Untuk menerima mesej log untuk pelanggan luaran.

# vi /etc /rsyslog.Conf 

Di dalam /etc/rsyslog.Conf fail konfigurasi, cari dan uncomment baris berikut untuk memberikan penerimaan pengangkutan UDP ke Rsyslog pelayan melalui 514 pelabuhan. Rsyslog menggunakan standard UDP Protokol untuk penghantaran log.

Modul (LOAD = "IMUDP") # perlu dilakukan hanya sekali input (type = "imudp" port = "514") 

4. Protokol UDP tidak mempunyai TCP overhead, dan menjadikan penghantaran data lebih cepat daripada TCP Protokol. Sebaliknya, UDP Protokol tidak menjamin kebolehpercayaan data yang dihantar.

Namun, jika anda mahu menggunakan TCP protokol untuk penerimaan log yang mesti anda cari dan uncomment baris berikut di /etc/rsyslog.Conf fail konfigurasi untuk mengkonfigurasi daemon rsyslog untuk mengikat dan mendengar soket TCP 514 pelabuhan.

Modul (LOAD = "IMTCP") # perlu dilakukan hanya sekali input (type = "imtcp" port = "514") 

5. Sekarang buat templat baru untuk menerima mesej terpencil, kerana templat ini akan membimbing pelayan rsyslog tempatan, di mana untuk menyimpan mesej yang diterima oleh klien rangkaian syslog.

$ template template, "/var/log/%hostname%/%name%.log " *.* ?REMOTELOGS 

The $ template template Panduan Arahan RSYSLOG Daemon untuk mengumpulkan dan menulis semua mesej log yang dihantar ke fail yang berbeza, berdasarkan nama klien dan aplikasi klien jauh yang membuat mesej berdasarkan sifat -sifat yang digariskan yang ditambahkan dalam konfigurasi templat: %HostName%dan%ProgramName%.

Semua fail log yang diterima akan ditulis ke sistem fail tempatan ke fail yang diperuntukkan yang dinamakan selepas nama hos mesin klien dan disimpan /var/log/ direktori.

The & ~ Peraturan Redirect mengarahkan pelayan rsyslog tempatan untuk berhenti memproses mesej log yang diterima lebih lanjut dan mengeluarkan mesej (tidak menuliskannya ke fail log dalaman).

The REMOTELOGS adalah nama sewenang -wenang yang diberikan kepada arahan templat ini. Anda boleh menggunakan nama apa sahaja yang anda mahukan yang paling sesuai untuk templat anda.

Untuk mengkonfigurasi templat rsyslog yang lebih kompleks, baca manual fail konfigurasi rsyslog dengan menjalankan Man Rsyslog.Conf perintah atau rujuk dokumentasi dalam talian rsyslog.

# lelaki rsyslog.Conf 

6. Selepas membuat perubahan konfigurasi di atas, anda boleh memulakan semula daemon rsyslog untuk menerapkan perubahan baru -baru ini dengan menjalankan arahan berikut.

# perkhidmatan rsyslog mulakan semula 

7. Sebaik sahaja anda memulakan semula Rsyslog pelayan, kini harus bertindak sebagai pelayan log terpusat dan merakam mesej dari klien syslog. Untuk mengesahkan soket rangkaian rsyslog, jalankan perintah netstat dan gunakan utiliti grep untuk menapis rentetan rsyslog.

# netstat -tulpn | Grep rsyslog 

Jika perintah netstat tidak intall Centos 8, anda boleh memasangnya menggunakan arahan berikut.

# DNF Whatprovides Netstat # DNF Pasang alat bersih 

8. Jika anda mempunyai Selinux aktif dalam Centos/RHEL 8, Jalankan arahan berikut untuk membolehkan trafik rsyslog bergantung pada jenis soket rangkaian.

# port semenage -a -t syslogd_port_t -p udp 514 # sememi port -a -t syslogd_port_t -p tcp 514 

Jika Komando sememi tidak memasang Centos 8, anda boleh memasangnya menggunakan arahan berikut.

# DNF WhatProvides Semanage # DNF Pasang PolicycoreUtils-Python-Utils 

9. Jika anda mempunyai firewall aktif pada sistem, jalankan arahan berikut untuk menambah peraturan yang diperlukan untuk membenarkan trafik rsyslog di pelabuhan di firewalld.

# Firewall-CMD --Panent --Add-Port = 514/TCP # Firewall-CMD --PerManent --Add-Port = 514/UDP # Firewall-Cmd-Reload 

Anda juga boleh mengehadkan sambungan masuk di port 514 dari julat IP Whiteled seperti yang ditunjukkan.

# firewall-cmd --permanent --dult-rich-rule 'peraturan keluarga = "ipv4" alamat sumber = "123.123.123.0/21"port port =" 514 "protokol =" tcp "menerima ' # firewall-cmd --permanent --add-rich peraturan' family =" ipv4 "source alamat ="123.123.123.0/21"port port =" 514 "protokol =" UDP "Terima ' # Firewall-Cmd-Reload 

Itu sahaja! Rsyslog kini dikonfigurasikan sebagai pelayan log memusatkan dan dapat mengumpulkan log dari klien jauh. Dalam artikel seterusnya, kita akan melihat cara mengkonfigurasi klien rsyslog pada Centos/RHEL 8 pelayan.