Som administratorer, it -supportpersonale eller ledere af netværk og systemområdet har vi noget grundlæggende til at hjælpe os med at holde styr på hver begivenhed, der opstår i systemet, både på niveau med brugere, applikationer eller selve systemet, og det er disse begivenheder.
Hver begivenhed registrerer en række elementer, der hjælper os med detaljeret at bestemme hver aktivitet med værdier som dato, klokkeslæt, ID, bruger og hændelse, der opstod, hvilket giver os mulighed for en meget mere centraliseret styring og administration.
Vi kan se, at hver post tilhører en anden kategori såsom system, sikkerhed osv.
I Linux -miljøer råder vi over Rsyslog -hjælpeprogrammet, som det vil være muligt at styre disse hændelser på på en enkel og komplet måde.
Hvad er RsyslogRsyslog (raket -hurtigt system til log - hurtigt system til logbehandling) er et værktøj designet til at tilbyde høj ydeevne, fremragende sikkerhedsfunktioner og et modulopbygget design, der gør det muligt at skalere det til ethvert virksomheds behov.
Rsyslog er i stand til at acceptere input fra en lang række forskellige kilder, transformere dem og generere resultater for forskellige destinationer og optimere it -styring.
RSYSLOG er i stand til at levere mere end en million meddelelser pr. Sekund til lokale destinationer, når der anvendes begrænset behandling inklusive fjerndestinationer.
Rsyslog -funktionerNår vi bruger Rsyslog har vi funktioner som:
- $ LocalHostName [navn] -direktiv: Dette direktiv tillader os at overskrive systemets værtsnavn med det, der er angivet i direktivet. Hvis direktivet gives flere gange, ignoreres alle undtagen det sidste.
- Tilføjet Hadoop HDFS -understøttelse.
- Det har et impstat -modul til at køre periodisk statistik om Rsyslog -tællerne.
- Det har imptcp plugin.
- Inkluderer en ny type "strenggenerator" -modul, der bruges til at fremskynde outputbehandling.
- Understøtter OSX og Solaris.
- Mulighed for at oprette brugerdefinerede meddelelsesanalysatorer.
- Understøttelse af flere regler til imudp.
- Ny transaktionsafslutningsmodulgrænseflade, der giver overlegen ydeevne.
- Multi-threading
- Understøtter TCP, SSL, TLS, RELP protokoller
- Understøtter MySQL, PostgreSQL, Oracle og mere
- Filtrer enhver del af syslog -meddelelsen
- Fuldt konfigurerbart outputformat
- Velegnet til business-class broadcast-netværk
Rsyslog filtreringRsyslog kan filtrere syslog -meddelelser baseret på udvalgte egenskaber og handlinger, disse filtre er:
- Facility eller Priority Filers
- Ejendomsbaserede filtre
- Udtryksbaserede filtre
Facilitetsfilteret er repræsenteret af det interne Linux -delsystem, der er ansvarligt for at producere posterne, vi har følgende muligheder:
- auth / authpriv = Det er de meddelelser, der produceres af godkendelsesprocesser
- cron = De er poster, der er knyttet til cron -opgaver
- daemon = Disse er meddelelser relateret til de kørende systemtjenester
- kernel = Angiver Linux -kernemeddelelser
- mail = Inkluderer beskeder fra mailserveren
- syslog = De er beskeder relateret til syslog eller andre dæmoner
- lpr = Dækker printere eller printerservermeddelelser
- local0 - local7 = Tæl brugerdefinerede meddelelser under administrator kontrol
- emer = Emergency - 0
- alert = Advarsler - 1
- fejl = fejl - 3
- advarsel = Advarsler - 4
- meddelelse = meddelelse - 5
- info = Information - 6
- debbug = Debugging - 7
1. Sådan konfigureres og kontrolleres status for Rsyslog i Linux
Trin 1
Rsyslog -dæmonen installeres automatisk på de fleste Linux -distributioner, men hvis ikke, skal vi køre følgende kommandoer:
På Debian -systemer
sudo apt-get install Rsyslog
På RedHat eller CentOS systemer
sudo yum installer Rsyslog
Trin 2
Vi kan kontrollere den aktuelle status for Rsyslog ved at udføre følgende linje:
På Linux -distributioner, der bruger Systemd
systemctl status rsyslog.service
I ældre versioner af Linux
service rsyslog status /etc/init.d/rsyslog status
FORSTØRRE
Trin 3
Hvis status for Rsyslog -tjenesten er inaktiv, kan vi starte den ved at udføre følgende:
I nye versioner af Linux
systemctl start rsyslog.service
I ældre versioner af Linux
service rsyslog start /etc/init.d/rsyslog start
FORSTØRRE
2. Rsyslog -konfiguration på Linux
For at konfigurere et rsyslog -program til at køre i servertilstand, skal vi redigere konfigurationsfilen i biblioteket /etc/rsyslog.conf.
Trin 1
Vi kan få adgang ved hjælp af den ønskede editor:
sudo nano /etc/rsyslog.conf
FORSTØRRE
Trin 2
Der vil vi foretage følgende ændringer. Find og fjern en kommentar, fjern skiltet (#) fra følgende linjer for at tillade modtagelse af UDP -logbeskeder på port 514. UDP -porten bruges som standard af syslog til at sende og modtage beskeder:
$ ModLoad imudp $ UDPServerRun 514Trin 3
UDP -protokollen er ikke pålidelig til at udveksle data over et netværk, så vi kan konfigurere Rsyslog til at sende logbeskeder til en fjernserver via TCP -protokollen. For at aktivere TCP -modtagelsesprotokollen fjerner vi følgende linjer:
$ ModLoad imtcp $ InputTCPServerRun 514Trin 4
Dette gør det muligt for rsyslog -dæmonen at binde og lytte til et TCP -stik på port 514.
Begge protokoller kan aktiveres i rsyslog til at køre samtidigt på Linux.
Hvis det er nødvendigt at angive, hvilke afsendere der har adgang til rsyslog -dæmonen, skal vi tilføje følgende linjer:
$ AllowedSender TCP, 127.0.0.1, 192.168.0.5/24, * .domain.com
FORSTØRRE
Trin 5
På dette tidspunkt vil det være nødvendigt at oprette en ny skabelon, som vil blive analyseret af rsyslog -dæmonen, inden de modtagende logfiler modtages. Denne skabelon skal fortælle den lokale Rsyslog -server, hvor indgående logmeddelelser skal gemmes. Denne skabelon går efter linjen $ AllowedSender:
$ template Incoming-logs, " / var / log /% HOSTNAME% /% PROGRAMNAME% .log" *. *? Incoming-logs & ~
FORSTØRRE
Trin 6
For kun at registrere de meddelelser, der genereres af kern, tilføjer vi følgende. Med ovenstående analyseres de modtagne poster af skabelonen og gemmes i det lokale filsystem i / var / log / biblioteket i stien:% HOSTNAME% og% PROGRAMNAME%.
kern. *? Indgående logfilerTrin 7
Vi kan gemme ændringerne ved hjælp af følgende tastekombination:
Ctrl + O.
Vi forlader redaktøren ved hjælp af:
Ctrl + X
3. Genstart tjenesten, og tjek Rsyslog -porte på Linux
Trin 1
Når vi foretager nogen form for ændringer, skal vi genstarte tjenesten ved at udføre en af følgende muligheder:
sudo service rsyslog genstart sudo systemctl genstart RsyslogTrin 2
For at kontrollere de porte, der bruges af Rsyslog, udfører vi følgende:
sudo netstat -tulpn | grep rsyslogTrin 3
Som vi har angivet, vil den anvendte port være 514, vi skal aktivere den i firewallen til brug med følgende linjer.
På RedHat og CentOS
firewall-cmd --permanent --add-port = 514 / tcp firewall-cmd -reload
I Debian
ufw tillader 514 / tcp ufw tillader 514 / udpHvis vi bruger IPTables:
iptables -A INPUT -p tcp -m tcp --dport 514 -j ACCEPT iptables -A INPUT -p udp --dport 514 -j ACCEPT
FORSTØRRE
På denne måde har vi installeret Rsyslog i Linux til at styre de forskellige typer logs, der konstant genereres i det.
