Dnes nastavíme centralizovaný server syslog na CentOS 8 / RHEL 8, aby správce Linuxu mohl číst více protokolů serveru na jednom místě.
Linuxové štítky (auth, cron, FTP, LPR, authpriv, news, mail, syslog atd..) zprávy protokolu označují typ softwaru, který generoval zprávy se závažností (Výstraha, kritická, Varování, Upozornění, informace atd. ...).
Další informace naleznete v části Štítky zpráv a úrovně závažnosti
Životní prostředí
Dva linuxové servery (server a klient).
server.itzgeek.local 192.168.0.10
client.itzgeek.local 192.168.0.20
Nastavení serveru
Nainstalujte balíček rsyslog na server syslog pro případ, že balíček ještě neexistuje.
dnf install -y rsyslog
Upravte soubor /etc/rsyslog.conf.
vi /etc/rsyslog.conf
Protokol
Rsyslog podporuje protokoly UDP i TCP pro příjem protokolů. Je na vás, abyste se rozhodli, který protokol chcete použít.
Rsyslog navrhuje použití protokolu TCP pro spolehlivé doručení protokolu.UDP
Pokud chcete, aby server syslog naslouchal na portu UDP, odkomentujte následující.
OD:
# Provides UDP syslog reception # for parameters see http://www.rsyslog.com/doc/imudp.html # module(load="imudp") # needs to be done just once # input(type="imudp" port="514")
KOMU:
# Provides UDP syslog reception # for parameters see http://www.rsyslog.com/doc/imudp.html module(load="imudp") # needs to be done just once input(type="imudp" port="514")
TCP
Pokud chcete, aby server syslog naslouchal na portu TCP, odkomentujte následující.
OD:
# Provides TCP syslog reception # for parameters see http://www.rsyslog.com/doc/imtcp.html #module(load="imtcp") # needs to be done just once #input(type="imtcp" port="514")
KOMU:
# Provides TCP syslog reception # for parameters see http://www.rsyslog.com/doc/imtcp.html module(load="imtcp") # needs to be done just once input(type="imtcp" port="514")
Restartujte službu syslog
systemctl restart rsyslog
Ověřte, že server syslog naslouchá na portu 514.
netstat -antup | grep 514
Výstup:
udp 0 0 0.0.0.0:514 0.0.0.0:* 30918/rsyslogd udp6 0 0 :::514 :::* 30918/rsyslogd
Nastavení klienta
Nainstalujte balíček rsyslog na klienta v případě, že balíček ještě neexistuje.
dnf install -y rsyslog
Upravte soubor /etc/rsyslog.conf.
vi /etc/rsyslog.conf
Na konec souboru umístěte následující řádek pro předání zpráv protokolu klienta na centralizovaný server syslog.
UDP:
action(type="omfwd" Target="192.168.0.10" Port="514" Protocol="udp")
TCP:
action(type="omfwd" Target="192.168.0.10" Port="514" Protocol="tcp")Můžete také použít název hostitele v Target.
Restartujte službu syslog
systemctl restart rsyslog
Nyní jsou všechny protokoly zpráv odesílány na centrální server a také uchovává kopii lokálně.
Firewall
Pokud má systém FirewallD, spusťte na serveru syslog následující příkaz, abyste přijali příchozí provoz na portu 514.
UDP:
firewall-cmd --permanent --add-port=514/udp firewall-cmd --reload
TCP:
firewall-cmd --permanent --add-port=514/tcp firewall-cmd --reload
Ověřit
Přejděte na server syslog a zobrazte soubor protokolu zpráv.
tail -f /var/log/messages
Nainstaloval jsem a spustil vsftpd na klientském počítači, můžete vidět, že jsou oba zaznamenány na serveru syslog.
Jan 31 03:21:07 client systemd[1]: Stopping System Logging Service... Jan 31 03:21:08 client rsyslogd[30944]: [origin software="rsyslogd" swVersion="8.37.0-13.el8" x-pid="30944" x-info="http://www.rsyslog.com"] exiting on signal 15. Jan 31 03:21:08 client systemd[1]: Stopped System Logging Service. Jan 31 03:21:08 client systemd[1]: Starting System Logging Service... Jan 31 03:21:08 client rsyslogd[30952]: environment variable TZ is not set, auto correcting this to TZ=/etc/localtime [v8.37.0-13.el8 try http://www.rsyslog.com/e/2442 ] Jan 31 03:21:08 client systemd[1]: Started System Logging Service. Jan 31 03:21:08 client rsyslogd[30952]: [origin software="rsyslogd" swVersion="8.37.0-13.el8" x-pid="30952" x-info="http://www.rsyslog.com"] start
Závěr
To je vše. Doufám, že jste úspěšně nastavili centralizovaný server syslog na CentOS 8 / RHEL 8. Můžete také použít nástroje pro správu protokolů s otevřeným zdrojovým kódem, jako je ELK stack nebo Graylog pro pokročilejší funkce, jako je webové rozhraní, korelace událostí protokolu atd.