Soubory protokolu jsou soubory, které uchovávají informace o aktivitách systému, jako jsou pokusy o autorizaci a přístup, pokusy o spuštění a vypnutí, spuštění a vypnutí služby atd. Existují různé soubory protokolu pro různé typy aktivit. Soubory protokolů usnadňují odstraňování problémů a sledování systémových aktivit. Rsyslog je program s otevřeným zdrojovým kódem pro OS Linux, který lze nakonfigurovat jako protokolovací server i jako klienta.
Zde v LinuxAPT, jako součást našich služeb správy serveru, pravidelně pomáháme našim zákazníkům provádět související dotazy Rsyslog.
V této souvislosti se podíváme na nastavení serveru Rsyslog na Ubuntu OS 20.04 pomocí dvou strojů Ubuntu. Na jednom počítači Ubuntu nakonfigurujeme Rsyslog jako protokolovací server a na druhém počítači; nakonfigurujeme Rsyslog jako klienta, který bude odesílat protokoly na server Rsyslog.
Jak nainstalovat Rsyslog na Ubuntu 20.04 LTS Focal Fossa?
1. Proveďte aktualizaci systému
Chcete-li začít, ujistěte se, že všechny vaše systémové balíčky jsou aktuální spuštěním následujících příkazů apt v terminálu:
$ sudo apt update
$ sudo apt upgrade
2. Nainstalujte Rsyslog do systému
Ve výchozím nastavení je nyní Rsyslog k dispozici v základním úložišti Ubuntu. Nyní spustíme následující příkaz k instalaci balíčku serveru Rsyslog do vašeho systému:
$ sudo apt install rsyslog
Po dokončení instalace spusťte a povolte službu Rsyslog:
$ sudo systemctl start rsyslog
$ sudo systemctl enable rsyslog
$ sudo systemctl status rsyslog
Chcete-li ověřit instalaci Rsyslog a zobrazit stav jeho služby, spusťte příkaz níže:
$ sudo systemctl status rsyslog
Jak nakonfigurovat server Rsyslog na Ubuntu?
1. Nakonfigurujte Rsyslog
Nyní, když je Rsyslog nainstalován a spuštěn, nakonfigurujeme jej jako protokolovací server.
Upravte konfigurační soubor Rsyslog etc/rsyslog.conf:
$ sudo nano /etc/rsyslog.conf
Přidejte níže uvedené řádky do konfiguračního souboru Rsyslog:
# Receive syslog over UDP
module(load="imudp")
input(type="imudp" port="514")
# Receive syslog over TCP
module(load="imtcp")
input(type="imtcp" port="514")
Poté vytvoříme šablonu, kterou bude Rsyslog používat pro ukládání příchozích syslog zpráv. Chcete-li tak učinit, přidejte níže uvedené řádky do konfiguračního souboru Rsyslog před sekci GLOBAL DIRECTIVES:
$template remote-incoming-logs, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
Poté uložte a zavřete konfigurační soubor.
Nyní spusťte níže uvedený příkaz a restartujte službu Rsyslog:
$ sudo systemctl restart rsyslog
Můžete také ověřit, zda Rsyslog naslouchá TCP/UDP portu 514 pomocí příkazu níže:
$ sudo ss -tunlp | grep 514
2. Nakonfigurujte bránu firewall
Pokud má váš systém povolenou bránu firewall, budete muset otevřít port TCP/UDP 514. Tento port používá server Rsyslog pro příjem protokolů ze vzdáleného klienta. Spuštěním těchto příkazů otevřete port TCP/UDP 514 v bráně firewall Ubuntu:
$ sudo ufw allow 514/tcp
$ sudo ufw allow 514/udp
Poté znovu načtěte firewall:
$ sudo ufw reload
Jak nakonfigurovat klienta Rsyslog na Ubuntu?
Nyní na druhém systému Ubuntu provedeme konfiguraci pro klienta Rsyslog. Tento klient poté odešle své protokoly na protokolovací server Rsyslog.
Na počítači ubuntu, který chcete nakonfigurovat jako klienta Rsyslog, nejprve nainstalujte Rsyslog (pokud již není nainstalován):
$ sudo apt install rsyslog
Poté upravte konfigurační soubor Rsyslog pomocí tohoto příkazu:
$ sudo nano /etc/rsyslog.conf
Přidejte níže uvedené řádky na konec konfiguračního souboru Rsyslog. Nezapomeňte nahradit 192.168.72.201 IP adresou vašeho logovacího serveru Rsyslog:
#Send system logs to rsyslog server over RDP
*.* @192.168.72.201:514
#Send system logs to rsyslog server over TCP
*.* @@192.168.72.201:514
##Set disk queue to preserve your logs in case rsyslog server is experiencing any downtime
$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
Uložte a zavřete konfigurační soubor Rsyslog.
Nyní spusťte níže uvedený příkaz a restartujte službu Rsyslog:
$ sudo systemctl restart rsyslog
Jak zobrazit soubory protokolu klienta na serveru Rsyslog?
Jakmile skončíte se všemi výše popsanými konfiguracemi, můžete si prohlédnout soubory protokolu zaslané klienty na server Rsyslog. Na vašem počítači se serverem Rsyslog spusťte níže uvedený příkaz v Terminálu:
$ ls /var/log/
Ve výstupu výše uvedeného příkazu uvidíte adresář pojmenovaný stejně jako název hostitele vašeho klientského systému.
Chcete-li zobrazit soubory protokolu klientského počítače, vypište obsah tohoto adresáře:
$ sudo ls /var/log/directory