Dnes se podíváme na to, jak nastavit centralizovanou správu protokolů pro server Linux. To pomůže správci Linuxu mít více protokolů serveru na jednom místě. Administrátor Linuxu se nemusí kvůli kontrole protokolů přihlašovat ke každému serveru, může se pouze přihlásit k centralizovanému serveru a začít sledovat protokol.
Linux štítky (auth, cron, FTP, LPR, authpriv, news, mail, syslog, atd..) zprávy protokolu označují typ softwaru, který generoval zprávy se závažností (Výstraha, kritické, Varování, Upozornění, informace, atd,..).
Další informace naleznete v části Štítky zpráv a úrovně závažnosti
Ujistěte se, že máte následující pro nastavení log serveru.
Dva linuxové servery (server a klient).
server.itzgeek.local 192.168.0.10
client.itzgeek.local 192.168.0.20
Nastavení serveru Syslog
Nainstalujte balíček Rsyslog, pokud jej nemáte nainstalovaný.
yum -y install rsyslog
Upravte /etc/rsyslog.conf soubor.
vi /etc/rsyslog.conf
TCP nebo UDP
Rsyslog podporuje protokoly UDP i TCP pro příjem protokolů. Protokol TCP zajišťuje spolehlivý přenos protokolů.
UDP
Pokud chcete, aby server syslog naslouchal protokolu UDP, odkomentujte následující.
OD:
# Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514
KOMU:
# Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514
TCP
Pokud chcete, aby server syslog naslouchal protokolu TCP, odkomentujte následující.
OD:
# Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514
KOMU:
# Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
Restartujte službu syslog
systemctl restart rsyslog
Ověřte, že server syslog naslouchá na portu 514.
netstat -antup | grep 514
Výstup:
udp 0 0 0.0.0.0:514 0.0.0.0:* 1467/rsyslogd udp6 0 0 :::514 :::* 1467/rsyslogd
Nastavení klienta Syslog
Nainstalujte balíček Rsyslog, pokud jej nemáte nainstalovaný.
yum -y install rsyslog
Upravte /etc/rsyslog.conf soubor.
vi /etc/rsyslog.conf
Na konec souboru umístěte následující řádek, který nasměruje protokol zpráv klienta na server.
UDP
*.info;mail.none;authpriv.none;cron.none @192.168.0.10:514
TCP
*.info;mail.none;authpriv.none;cron.none @@192.168.0.10:514
Můžete použít název hostitele nebo IP adresu.
Restartujte službu syslog
systemctl restart rsyslog
Nyní jsou všechny protokoly zpráv odesílány na centrální server a také uchovává kopii lokálně.
Firewall
Většinou jsou všechna produkční prostředí chráněna hardwarovým firewallem, požádejte je, aby otevřeli TCP &UDP 514.
Pokud máte povolenou bránu FirewallD, spusťte na serveru následující příkaz, abyste mohli přijímat příchozí provoz na portu UDP / TCP 514.
TCP
firewall-cmd --permanent --add-port=514/tcp firewall-cmd --reload
UDP
firewall-cmd --permanent --add-port=514/udp firewall-cmd --reload
Ověřit
Přejděte na server syslog a zobrazte soubor protokolu zpráv.
tail -f /var/log/messages
Měli byste vidět, že protokoly klienta se zaznamenávají na server syslog.
Feb 9 04:26:09 client systemd: Stopping System Logging Service... Feb 9 04:26:09 client rsyslogd: [origin software="rsyslogd" swVersion="8.24.0-41.el7_7.2" x-pid="910" x-info="http://www.rsyslog.com"] exiting on signal 15. Feb 9 04:26:09 client systemd: Stopped System Logging Service. Feb 9 04:26:09 client systemd: Starting System Logging Service... Feb 9 04:26:09 client rsyslogd: [origin software="rsyslogd" swVersion="8.24.0-41.el7_7.2" x-pid="1546" x-info="http://www.rsyslog.com"] start Feb 9 04:26:09 client systemd: Started System Logging Service.
Tímto způsobem můžete sledovat ostatní protokoly, jako jsou protokoly secure, mail, cron atd.
Závěr
To je vše. Doufám, že jste úspěšně nastavili centralizovaný server syslog na CentOS 7 / RHEL 7. Můžete také vyzkoušet nástroje pro správu protokolů s otevřeným zdrojovým kódem, jako je ELK stack nebo Graylog pro pokročilejší funkce, jako je webové rozhraní, korelace událostí protokolu atd.