Jak nastavit Rsyslog Server na Ubuntu 18.04 LTS

Protokoly jsou velmi užitečné pro analýzu a odstraňování problémů souvisejících se systémem a aplikacemi v Linuxu. Ve výchozím nastavení jsou všechny soubory protokolu umístěny v adresáři /var/log v operačních systémech založených na Linuxu. Existuje několik typů souborů protokolu, včetně cron, kernel, users, security a většina těchto souborů je řízena službou Rsyslog.

Rsyslog je výkonný a bezpečný systém pro zpracování protokolů. Server Rsyslog přijímá protokoly přes síť z několika fyzických nebo virtualizovaných serverů a monitoruje stav různých služeb. Pomocí serveru Rsyslog můžete sledovat protokoly pro jiné servery, síťová zařízení a vzdálené aplikace z centralizovaného umístění.

V tomto tutoriálu vysvětlíme, jak nakonfigurovat server Rsyslog na serveru Ubuntu 18.04.

Předpoklady

• Dva servery se systémem Ubuntu 18.04.
• Statická IP adresa 192.168.0.101 je nakonfigurována na serveru Rsyslog a 192.168.0.102 je nakonfigurována na klientském počítači Rsyslog.
• Na obou serverech je nakonfigurováno heslo uživatele root.

Instalovat Rsyslog

Ve výchozím nastavení je Rsyslog nainstalován na serveru Ubuntu 18.04. Pokud není nainstalován, můžete jej nainstalovat spuštěním následujícího příkazu:

apt-get install rsyslog -y

Po instalaci Rsyslog můžete zkontrolovat verzi Rsyslog pomocí následujícího příkazu:

rsyslogd -v

Měli byste získat následující výstup:

rsyslogd 8.32.0, zkompilováno s:PLATFORMA:x86_64-pc-linux-gnu PLATFORMA (lsb_release -d):FEATURE_REGEXP:Ano Podpora GSSAPI Kerberos 5:Ano FEATURE_DEBUG (ladicí sestavení, pomalý kód):Nepodporovány 32bitové operace Atomic :Ano Podporovány 64bitové atomové operace:Ano alokátor paměti:výchozí systém Runtime Instrumentation (pomalý kód):Žádná podpora uuid:Ano podpora systemd:Ano Počet bitů v celých číslech RainerScript:64 Další informace naleznete na http://www.rsyslog.com. 

Stav Rsyslog můžete také zkontrolovat pomocí následujícího příkazu:

systemctl status rsyslog

Měli byste vidět následující výstup:

? rsyslog.service – Služba systémového protokolování Načteno:načteno (/lib/systemd/system/rsyslog.service; povoleno; přednastaveno dodavatelem:povoleno) Aktivní:aktivní (běží) od Út 2019-10-22 04:28:55 UTC; Před 1min 31s Dokumenty:man:rsyslogd(8) http://www.rsyslog.com/doc/ Hlavní PID:724 (rsyslogd) Úkoly:4 (limit:1114) CGroup:/system.slice/rsyslog.service ?? 724 /usr/sbin/rsyslogd -nOct 22 04:28:53 ubuntu1804 systemd[1]:Spouštění služby systémového protokolování... 22. října 04:28:54 ubuntu1804 rsyslogd[724]:imuxsock:Získaný UNIX socket systemd/journal/syslog' (fd 3) ze systemd. [v8.32.0]Oct 22 04:28:54 ubuntu1804 rsyslogd[724]:rsyslogd's groupid změněno na 106Oct 22 04:28:54 ubuntu1804 rsyslogd[724]:user54rlogd changes to 0071's:240 user54rsyslogd to 08 ]:[origin software="rsyslogd" swVersion="8.32.0" x-pid="724" x-info="http://www.rsyslog.com"] startOct 22 04:28:55 ubuntu1804 systemd[1 ]:Spuštěna služba systémového protokolování.

Konfigurace serveru Rsyslog

Rsyslog je nyní nainstalován a spuštěn. Dále jej budete muset nakonfigurovat tak, aby běžel v režimu serveru. Můžete to udělat úpravou souboru /etc/rsyslog.conf.

nano /etc/rsyslog.conf

Nejprve budete muset definovat protokol buď UDP nebo TCP nebo obojí.

Chcete-li současně používat připojení UDP i TCP, vyhledejte a odkomentujte následující řádky:

$ModLoad imudp$UDPServerRun 514$ModLoad imtcp$InputTCPServerRun 514

Dále definujte konkrétní podsíť, IP nebo doménu pro omezení přístupu, jak je uvedeno níže:

$AllowedSender TCP, 127.0.0.1, 192.168.0.0/24, *.example.com$AllowedSender UDP, 127.0.0.1, 192.168.0.0/24, *.example.com

Dále budete muset vytvořit šablonu, která serveru Rsyslog řekne, jak ukládat příchozí zprávy syslog. Přidejte následující řádky těsně před sekci GLOBAL DIRECTIVES:

$template remote-incoming-logs, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log" *.* ?remote-incoming-logs

Po dokončení uložte a zavřete soubor. Poté pomocí následujícího příkazu zkontrolujte konfiguraci Rsyslog, zda neobsahuje nějakou chybu syntaxe:

rsyslogd -f /etc/rsyslog.conf -N1

Měli byste vidět následující výstup:

rsyslogd:verze 8.32.0, spuštění ověření konfigurace (úroveň 1), hlavní konfigurace /etc/rsyslog.confrsyslogd:Konec běhu ověření konfigurace. Ahoj.

Nakonec restartujte službu Rsyslog pomocí následujícího příkazu:

systemctl restartujte rsyslog

Nyní ověřte, že Rsyslog naslouchá na TCP/UDP pomocí následujícího příkazu:

netstat -4altunp | grep 514

Měli byste získat následující výstup:

tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 1332/rsyslogd udp 0 0 0.0.0.0:514 0.0.0.0:* 1332/rsyslogd 

Konfigurace klienta Rsyslog

Server Rsyslog je nainstalován a nakonfigurován pro příjem protokolů ze vzdálených hostitelů.

Nyní budete muset nakonfigurovat klienta Rsyslog pro odesílání zpráv syslog na vzdálený server Rsyslog.

Přihlaste se do klientského počítače a otevřete konfigurační soubor Rsyslog, jak je znázorněno níže:

nano /etc/rsyslog.conf

Na konec souboru přidejte následující řádky:

##Povolit odesílání protokolů přes UDP přidejte následující řádek:*.* @192.168.0.101:514##Povolit odesílání protokolů přes TCP přidejte následující řádek:*.* @@192.168.0.101:514## Nastavit diskovou frontu, když bude server rsyslog mimo provoz:$ActionQueueFileName fronta$ActionQueueMaxDiskSpace 1g$ActionQueueSaveOnShutdown on$ActionQueueType LinkedList$ActionResumeRetryCount -1 

 Uložte a zavřete soubor. Poté restartujte server Rsyslog, abyste použili změny konfigurace:
 
systemtcl restartujte rsyslog
 
Zobrazit protokol klienta
 

 V tomto okamžiku je klient Rsyslog nakonfigurován tak, aby posílal svůj protokol na server Rsyslog.
 

 Nyní se přihlaste k serveru Rsyslog a zkontrolujte adresář /var/log. Měli byste vidět záznam s názvem hostitele vašich klientských počítačů včetně několika souborů protokolu:
 
ls /var/log/rsyslog-client/
 

 Výstup:
 
CRON.log kernel.log rsyslogd-2039.log rsyslogd.log sudo.log wpa_supplicant.log
 
Závěr
 

 Ve výše uvedeném článku jsme se naučili, jak nainstalovat a nakonfigurovat server Rsyslog na serveru Ubuntu 18.04. Také jsme se naučili, jak nakonfigurovat klienta Rsyslog pro odesílání protokolů na server Rsyslog. Pokud máte nějaké dotazy, neváhejte se mě zeptat.