Dnes se podíváme na to, jak nastavit centralizovanou správu protokolů pro servery Linux, což pomůže správci Linuxu mít více protokolů serveru na jednom místě. Administrátor Linuxu se nemusí kvůli kontrole protokolů přihlašovat ke každému serveru, může se pouze přihlásit k centralizovanému serveru a začít sledovat protokoly.
Linux označí zprávy protokolu (auth, cron, ftp, lpr, authpriv, novinky, mail, syslog atd.) a označí tak typ softwaru, který generoval zprávy se závažností (Výstraha, kritické, Varování, Upozornění, informace, atd.,...).
Další informace naleznete v části Štítky zpráv a úrovně závažnosti
Ujistěte se, že máte k nastavení serveru protokolu následující.
Dva linuxové servery (server a klient).
server.itzgeek.local 192.168.0.105
client.itzgeek.local 192.168.0.104
Nastavení serveru:
Nainstalujte balíček syslog, pokud jej nemáte nainstalovaný.
[root@server ~]# yum -y install rsyslog
Upravte soubor /etc/rsyslog.conf
[root@server ~]# vi /etc/rsyslog.conf
Pokud chcete, aby server syslog naslouchal na portu tcp a udp, zrušte komentář.
Od
# Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514
Komu
# Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
Restartujte službu syslog
[root@server ~]# service rsyslog restart
Ověřte, že server syslog naslouchá.
[root@server ~]# netstat -antup | grep 514 tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 8081/rsyslogd tcp 0 0 :::514 :::* LISTEN 8081/rsyslogd udp 0 0 0.0.0.0:514 0.0.0.0:* 8081/rsyslogd udp 0 0 :::514 :::* 8081/rsyslogd
Nastavení klienta:
Upravte soubor /etc/rsyslog.conf
[root@client ~]# vi /etc/rsyslog.conf
Na konec souboru umístěte následující řádek, který nasměruje protokol zpráv klienta na server
*.info;mail.none;authpriv.none;cron.none @192.168.0.105
Můžete uvést název hostitele nebo IP adresu.
Restartujte službu syslog
[root@client ~]# service rsyslog restart
Nyní jsou všechny protokoly zpráv odesílány na centrální server a také uchovává kopii lokálně.
Otevření portu brány firewall (volitelné):
Většinou je celé produkční prostředí chráněno hardwarovým firewallem, požádejte je, aby otevřeli TCP &UDP 514. Otevření portu můžete ověřit zadáním následujícího příkazu z klienta.
[root@client ~]# telnet 192.168.0.105 514 Trying 192.168.0.105... Connected to 192.168.0.105. Escape character is '^]'.
Pokud neposkytne žádnou odpověď, vypněte firewall na klientovi i na serveru.
Test:
Sledujte aktivitu ze serveru protokolu, otevřete protokol zpráv.
[root@server ~]# tailf /var/log/messages
Nyní restartujte službu xinetd na klientovi. Nyní můžete získat zprávu o restartu služby na serveru syslog.
Oct 17 15:06:41 client xinetd[4280]: xinetd Version 2.3.14 started with libwrap loadavg labeled-networking options compiled in. Oct 17 15:06:41 client xinetd[4280]: Started working: 0 available services
Tímto způsobem můžete sledovat ostatní protokoly, jako jsou protokoly secure, mail, cron atd.