Jak nastavit rsyslog pro centralizovanou správu protokolů

Tento tutoriál vysvětlí, jak nastavit rsyslog jako server centralizované správy protokolů. Centralizovaná správa protokolů znamená shromažďovat všechny druhy protokolů z několika fyzických nebo virtualizovaných serverů na jednom serveru protokolů za účelem sledování stavu a zabezpečení služeb serveru. V tomto kurzu používáme rsyslog, protože nabízí vysoký výkon, skvělé zabezpečení a modulární design. Je také schopen ukládat protokoly v mnoha databázových řešeních, jako je MySQL, Oracle, Hadoop a další pro lepší konsolidaci.

1. Předběžná poznámka

Pro tento tutoriál používám Oracle Linux 6.4 v 32bitové verzi. Vezměte prosím na vědomí, že i když je konfigurace provedena pod Oracle Linux, stejné kroky budou fungovat na CentOS a Red Hat OS Linux. V tomto tutoriálu použijeme 2 servery. První bude fungovat jako server rsyslog a druhý bude fungovat jako pracovní stanice / klientský server pro klienta rsyslog. Na konci tohoto tutoriálu uvidíme, že jakmile se uživatel přihlásí na klientský server, server rsyslog automaticky zaznamená aktivitu, kterou provedl.

2. Instalace Rsyslog

Pro fázi instalace vyžadujeme pouze nainstalované balíčky rsyslog a jejich závislosti. Nejprve potvrďte naši verzi operačního systému.

[[email protected] ~]# cat /etc/issue
Oracle Linux Server verze 6.4
Jádro \r na \m

[[email protected] ~]# arch
i686

[[email protected] ~]# uname -a
Linux RSYS01 2.6.32-358.el6.i686 #1 SMP Pá 22. února 13:37:29 PST 2013 i686 i686 i386 GNU/Linux 

 
Dále nakonfiguruji nové úložiště pro instalaci balíčků rsyslog pomocí nástroje yum.
 

[[email protected] ~]# cd /etc/yum.repos.d/
[[email protected] yum.repos.d]# vi rsyslog.repo
[ rsyslog-v7-devel]
name=Adiscon Rsyslog v7-devel pro CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-devel/epel-$releasever/ $basearch
enabled=0
gpgcheck=0
protect=1
 
[rsyslog-v7-stable]
name=Adiscon Rsyslog v7-stable pro CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-stable/epel -$releasever/$basearch
enabled=1
gpgcheck=0
protect=1
 

[[email protected] yum.repos.d]# seznam yum rsyslog
Načtené pluginy:refresh-packagekit, security
rsyslog-v7-stable | 2,5 kB 00:00
rsyslog-v7-stable/primary_db | 188 kB 00:01
Dostupné balíčky
rsyslog.i686 7.6.7-1.el6 rsyslog-v7-stable
 

 
Hotovo, nyní začneme instalovat novou verzi rsyslog. Kroky jsou zobrazeny níže:
 

[[email protected] yum.repos.d]# yum install rsyslog -y
Načtené pluginy:refresh-packagekit, zabezpečení
Nastavení instalačního procesu
Řešení závislostí 
--> Spuštění kontroly transakce
---> Balíček rsyslog.i686 0:7.6.7-1.el6 bude nainstalován
--> Závislost na zpracování:liblogging-stdlog.so. 0 pro balíček:rsyslog-7.6.7-1.el6.i686
--> Závislost na zpracování:libjson-c.so.2 pro balíček:rsyslog-7.6.7-1.el6.i686
 --> Závislost na zpracování:libgthttp.so.0 pro balíček:rsyslog-7.6.7-1.el6.i686
--> Závislost na zpracování:libgtbase.so.0 pro balíček:rsyslog-7.6.7-1 .el6.i686
--> Závislost na zpracování:libgt pro balíček:rsyslog-7.6.7-1.el6.i686
--> Závislost na zpracování:libestr.so.0 pro balíček:rsyslog-7.6 .7-1.el6.i686
--> Spuštění kontroly transakce
---> Balíček json-c.i686 0:0.11-3.el6 bude nainstalován
---> Bude nainstalován balíček libestr.i686 0:0.1.9-1.el6
---> Bude nainstalován balíček libgt.i686 0:0.3.11-1.el6 ed
---> Balíček liblogging.i686 0:1.0.4-1.el6 bude nainstalován
--> Dokončené vyřešení závislostí 
Vyřešené závislosti 
===================================================================================================================
Velikost úložiště verze Package Arch
=================================================================================================================
Instalace:
rsyslog i686 7.6.7-1.el6 rsyslog -v7-stable 920 k
Instalace pro závislosti:
json-c i686 0.11-3.el6 rsyslog-v7-stable 46 k
libestr i686 0.1.9-1.el6 rsyslog-v7 -stabilní 9,0 k
libgt i686 0,3.11-1.el6 rsyslog-v7-stable 55 k
liblogging i686 1.0.4-1.el6 rsyslog-v7-stable 23 k 
Shrnutí transakcí 
===================================================================================================================
Instalovat 5 balíčků 
Celková velikost stahování:1,0 M
Velikost instalace:3,2 M
Stahování balíčků :
(1/5):json-c-0.11-3.el6.i686.rpm | 46 kB 00:00
(2/5):libestr-0.1.9-1.el6.i686.rpm | 9,0 kB 00:00
(3/5):libgt-0.3.11-1.el6.i686.rpm | 55 kB 00:00
(4/5):liblogging-1.0.4-1.el6.i686.rpm | 23 kB 00:00
(5/5):rsyslog-7.6.7-1.el6.i686.rpm | 920 kB 00:03
------------------------------------------ -------------------------------------------------- --------------------
Celkem 114 kB/s | 1,0 MB 00:09
Spuštění rpm_check_debug
Spuštění testu transakce
Test transakce byl úspěšný
Spuštění transakce
Instalace:libgt-0.3.11-1.el6.i686 1/ 5
Instalace:liblogging-1.0.4-1.el6.i686 2/5
Instalace:libestr-0.1.9-1.el6.i686 3/5
Instalace:json-c -0.11-3.el6.i686 4/5
Instalace:rsyslog-7.6.7-1.el6.i686 5/5
Ověřování:json-c-0.11-3.el6.i686 1/ 5
Ověřování:libestr-0.1.9-1.el6.i686 2/5
Ověřování:liblogging-1.0.4-1.el6.i686 3/5
Ověřování:libgt-0.3 .11-1.el6.i686 4/5
Ověřování:rsyslog-7.6.7-1.el6.i686 5/5 
 
Instalováno:
rsyslog.i686 0:7.6.7-1.el6 
 
Instalovaná závislost:
json-c.i686 0:0.11-3.el6 libestr.i686 0:0.1.9-1.el6 libgt.i686 0 :0.3.11-1.el6 liblogging.i686 0:1.0.4-1.el6 
 
Dokončeno!
 

 
 
[[email protected] yum.repos.d]# rsyslogd -v
rsyslogd 7.6.7, zkompilováno s:
FEATURE_REGEXP:Ano
Podpora GSSAPI Kerberos 5:Ano
FEATURE_DEBUG (debug build, pomalý kód):Ne
Podpora 32bitových atomových operací:Ano
64bitových atomových operací:Ano
Runtime Instrumentation (pomalý kód):Ne
podpora uuid:Ano
Počet bitů v celých číslech RainerScript:64 
 
Další informace naleznete na http://www.rsyslog.com.
 

 
 
[[e-mail chráněný] ~]# ot./min -qa|grep rsyslog
rsyslog-7.6.7-1.el6.i686
 

 
Dále přistoupíme k fázi instalace. V tomto tutoriálu přeskočíme vrstvu zabezpečení, abychom věci zjednodušili. Vypneme SELINUX, abychom zajistili, že během cesty nedojde k žádnému problému souvisejícímu se zvýšením bezpečnosti. Uvědomte si, že byste neměli deaktivovat SELinux a Firewall v živém nastavení. Níže jsou kroky:
 

 Nejprve zkontrolujte, jaký je aktuální stav našich zásad SELINUX.
 
[[email protected] ~]# getenforce
Vynucování
 

 Chcete-li jej trvale zakázat, postupujte podle následujících kroků:
 
[[email protected] ~]# cd /etc/sysconfig/
[[email protected] ~]# vi selinux 
 
# Tento soubor řídí stav SELinuxu v systému .
# SELINUX=může nabývat jedné z těchto tří hodnot:
# vynucování - bezpečnostní politika SELinuxu je vynucována.
# permisivní - SELinux místo vynucování vypisuje varování.
# zakázáno - Nejsou načteny žádné zásady SELinux.
SELINUX=disabled
# SELINUXTYPE=může nabývat jedné z těchto dvou hodnot:
# cílené - Cílené procesy jsou chráněny,
# mls - Víceúrovňové zabezpečení ochrana.
SELINUXTYPE=cílený
 

 
Poté se ujistěte, že jsme deaktivovali firewall, abychom předešli blokování mezi serverem a klientským připojením.
 
[[chráněno e-mailem] ~]# iptables -nL
VSTUP řetězce (zásady ACCEPT)
cílový chráněný zdroj cílové umístění 
 
Řetěz FORWARD (zásady ACCEPT)
target prot opt ​​source destination 
 
Chain OUTPUT (policy ACCEPT)
target prot opt ​​source destination
 
[[e-mail chráněný] ~]# /etc/init.d/iptables stop
iptables:Vyprázdnění pravidel brány firewall:[ OK ]
iptables:Nastavení řetězců podle zásady PŘIJMOUT:filtr [ OK ]
iptables:Vyjmutí modulů:[ OK ]
 
[[e-mail chráněný] ~]# stav /etc/init.d/iptables
Tabulka:filtr
VSTUP řetězce (přijetí zásad)
počet cílů ochrany zdroje cíl 
 
Řetěz VPŘED (zásady ACCEPT)
počet cílového zdroje ochrany, opt. cíl 
 
Řetězec VÝSTUP (zásady ACCEPT)
počet cílového chráněného zdroje cílového místa
 

 
Hotovo, fáze instalace byla úspěšná. Pojďme k fázi konfigurace.
 

 
 

3. Konfigurace Rsyslog
 

 Všechny závislosti balíčku již byly nainstalovány, zaměřme se na konfiguraci rsyslog. Pojďme dovnitř konfiguračního souboru a proveďte změny jako níže:
 
[[email protected] ~]# vi /etc/rsyslog.conf 
 
module(load="imudp") # je potřeba provést pouze jednou
input(type=" imudp" port="514") 
 
$template Auditlog, "/var/log/rsyslog_client/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/ log/rsyslog_client/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.* ?Auditlog
 

 Níže je vysvětlení změn konfigurace, které jsme provedli:
 
 
module(load="imudp") # je třeba provést pouze jednou ==> Poskytneme možnost přijímat zprávy rsyslog mezi serverem a klientem prostřednictvím protokolu UDP
 
input(type="imudp" port="514") ==> Pro služby rsyslog budeme používat port 514
 
$template Auditlog, "/var/log/rsyslog_client/%HOSTNAME%/%PROGRAMNAME%.log" ==> Pro každého klienta připojeného k serveru rsyslog systém automaticky vytvoří složku hostname klienta a název souboru souvisejících služeb
 
$template TmplMsg, "/var/log/rsyslog_client/%HOSTNAME%/%PROGRAMNAME%.log" ==> Pro každého klienta připojeného k serveru rsyslog systém automaticky vytvoří složku hostname klienta a název souboru souvisejících služeb
 
 

 
Jakmile je konfigurace hotová, spusťte službu rsyslog.
 
[[email protected] yum.repos.d]# /etc/init.d/rsyslog restart
Vypnutí systémového záznamníku:[SELHALO]
Spuštění systémového záznamníku:[ OK ]
 

 Pomocí netstat zkontrolujte, zda jsou služby rsyslog spuštěné:
 
[[e-mail chráněný] yum.repos.d]# netstat -uanp|grep rsyslog
udp 0 0 0.0.0.0:514 0.0.0.0:* 2430/rsyslogd
udp 0 0 :::514 :::* 2430/rsyslogd
 

 Výše můžete vidět, že naše služba rsyslog běží s přiřazením portů, které jsme provedli. Ve výchozím nastavení rsyslog také audituje svůj vlastní přístup k serveru, protože se serverem rsyslog zachází jako s klientem. Abychom se ujistili, že to funguje, můžeme se podívat do složky /var/log. Pojďme zkontrolovat, zda složka s názvem RSYS01 (to je název hostitele serveru) existuje nebo ne.
 
[[email protected] log]# cd /var/log/
[[email protected] log]# ls -l|grep rsyslog
drwx------ 3 root root 4096 24. října 18:21 rsyslog_client
 
[[email protected] log]# cd rsyslog_client
[[email protected] rsyslog_client]# ls
RSYS01
[[email protected] rsyslog_client]# cd RSYS01/
 [[e-mail chráněný] RSYS01]# ls
rsyslogd.log
 

 Pěkné, zdá se, že vše funguje jako kouzlo! Nyní pokračujme ve fázi testování, abychom došli k závěru, že všechny konfigurace jsou provedeny podle očekávání.
 

 
 
4. Testovací fáze
 

 Protože server, na kterém je spuštěna služba rsyslog, funguje také jako klient, můžeme na samotném serveru vidět, zda je monitorováno sledování místních přihlášení. Abychom se ujistili, že je to pravda, přihlaste se k serveru rsyslog pomocí jiné relace pomocí služby SSH. Pro tento krok budeme předpokládat, že server sám již nakonfiguroval konfiguraci bez hesla. Níže jsou kroky:
 
[[chráněn e-mailem] RSYS01]# ssh [chráněn e-mailem]
Poslední přihlášení:So 22. října 15:45:48 2016 od 172.20.181.70
 
[[email protected] ~]# who
root pts/0 2016-10-22 00:21 (172.20.181.11)
root pts/1 2016-10-24 18:22 ( 127.0.0.1)
 
[[email protected] ~]# exit
odhlášení
Připojení k RSYS01 uzavřeno.
 

 Hotovo, tak jednoduché. Přihlásíme se k samotnému serveru rsyslog a poté, co je vytvořena nová relace, se jednoduše znovu přihlásíme, abychom se ujistili, že služba rsyslog provedla audit relace. Nyní zkontrolujme, zda byla relace auditována nebo ne. Níže jsou kroky:
 
[[chráněn e-mailem] ~]# cd var/log/rsyslog_client/RSYS01
[[chráněn e-mailem] RSYS01]# ls
rsyslogd.log sshd.log
[[chráněn e-mailem ] RSYS01]# tail -f sshd.log
24. října 18:22:46 RSYS01 sshd[2536]:Přijímané heslo pro root z 192.168.43.101 port 52862 ssh2
24. října 18:2014 RSYS sshd[2536]:pam_unix(sshd:session):relace otevřena pro uživatele root uživatelem (uid=0)
Oct 24 18:22:50 RSYS01 sshd[2536]:Přijato odpojení od 192.168.43.101:11:odpojeno od uživatele
24. října 18:22:50 RSYS01 sshd[2536]:pam_unix(sshd:session):relace uzavřena pro uživatele root
^C
 

 
Výborně, služba rsyslog automaticky vytvořila soubor sshd.log při zahájení relace na serveru. Uvnitř souboru protokolu můžeme vidět, že je zde seznam podrobností s uvedením času, portu a uživatele vytvořeného v rámci relace.
 

 Nyní vše funguje podle očekávání. Pojďme nastavit pracovní stanici pro klienta rsyslog, který bude auditován naším serverem rsyslog. V případě klienta rsyslog stačí nainstalovat balíčky rsyslog a provést jednoduchou změnu v konfiguračním souboru pro propojení se serverem rsyslog. Níže jsou kroky:
 
[[email protected] ~]# cd /etc/yum.repos.d/
[[email protected] yum.repos.d]# yum list rsyslog
Načtené pluginy:refresh-packagekit , zabezpečení
rsyslog-v7-stable | 2,5 kB 00:00
rsyslog-v7-stable/primary_db | 188 kB 00:01
Dostupné balíčky
rsyslog.i686 7.6.7-1.el6 rsyslog-v7-stable
 

[[email protected] yum.repos.d]# yum install rsyslog -y
Načtené pluginy:refresh-packagekit, zabezpečení
Nastavení instalačního procesu
Řešení závislostí 
--> Spuštění kontroly transakce
---> Balíček rsyslog.i686 0:7.6.7-1.el6 bude nainstalován
--> Závislost na zpracování:liblogging-stdlog.so. 0 pro balíček:rsyslog-7.6.7-1.el6.i686
--> Závislost na zpracování:libjson-c.so.2 pro balíček:rsyslog-7.6.7-1.el6.i686
 --> Závislost na zpracování:libgthttp.so.0 pro balíček:rsyslog-7.6.7-1.el6.i686
--> Závislost na zpracování:libgtbase.so.0 pro balíček:rsyslog-7.6.7-1 .el6.i686
--> Závislost na zpracování:libgt pro balíček:rsyslog-7.6.7-1.el6.i686
--> Závislost na zpracování:libestr.so.0 pro balíček:rsyslog-7.6 .7-1.el6.i686
--> Spuštění kontroly transakce
---> Balíček json-c.i686 0:0.11-3.el6 bude nainstalován
---> Bude nainstalován balíček libestr.i686 0:0.1.9-1.el6
---> Bude nainstalován balíček libgt.i686 0:0.3.11-1.el6 ed
---> Balíček liblogging.i686 0:1.0.4-1.el6 bude nainstalován
--> Dokončené vyřešení závislostí
 
Závislosti vyřešeny
 
===================================================================================================================
Velikost úložiště verze archivu balíčku
==================================================================================================================
Instalace:
rsyslog i686 7.6.7-1.el6 rsyslog-v7-stable 920 k
Instalace pro závislosti:
json-c i686 0.11-3.el6 rsyslog-v7-stable 46 k
libestr i686 0.1. 9-1.el6 rsyslog-v7-stable 9.0 k
libgt i686 0.3.11-1.el6 rsyslog-v7-stable 55 k
liblogging i686 1.0.4-1.el6 rsyslog-v7-stable 23 k
 
Přehled transakcí
==================================================================================================================
Nainstalovat 5 balíčků
 
Celková velikost ke stažení:1,0 M
Instalovaná velikost:3,2 M
Stáhnout g Balíčky:
(1/5):json-c-0.11-3.el6.i686.rpm | 46 kB 00:00
(2/5):libestr-0.1.9-1.el6.i686.rpm | 9,0 kB 00:00
(3/5):libgt-0.3.11-1.el6.i686.rpm | 55 kB 00:00
(4/5):liblogging-1.0.4-1.el6.i686.rpm | 23 kB 00:00
(5/5):rsyslog-7.6.7-1.el6.i686.rpm | 920 kB 00:03
------------------------------------------ -------------------------------------------------- --------------------
Celkem 114 kB/s | 1,0 MB 00:09
Spuštění rpm_check_debug
Spuštění testu transakce
Test transakce byl úspěšný
Spuštění transakce
Instalace:libgt-0.3.11-1.el6.i686 1/ 5
Instalace:liblogging-1.0.4-1.el6.i686 2/5
Instalace:libestr-0.1.9-1.el6.i686 3/5
Instalace:json-c -0.11-3.el6.i686 4/5
Instalace:rsyslog-7.6.7-1.el6.i686 5/5
Ověřování:json-c-0.11-3.el6.i686 1/ 5
Ověřování:libestr-0.1.9-1.el6.i686 2/5
Ověřování:liblogging-1.0.4-1.el6.i686 3/5
Ověřování:libgt-0.3 .11-1.el6.i686 4/5
Ověřování:rsyslog-7.6.7-1.el6.i686 5/5
 
Instalováno:
rsyslog.i686 0:7.6.7-1.el6
 
Instalovaná závislost:
json-c.i686 0:0.11-3.el6 libestr.i686 0:0.1.9-1.el6 libgt.i686 0 :0.3.11-1.el6 liblogging.i686 0:1.0.4-1.el6
 
Dokončeno!
 

 
Hotovo, nyní jsme na naši klientskou pracovní stanici nainstalovali balíček rsyslog. Nyní provedeme změnu v konfiguračním souboru rsyslog. Pro konfiguraci klienta stačí upravit konfiguraci, jak je uvedeno níže:
 
[[email protected] ~]# vi /etc/rsyslog.conf
 
*.* @192.168.43.101:514
 

 To je vše, poznamenali jsme, že jsme do konfiguračního souboru zahrnuli IP 192.168.43.101 s portem 514. Tato IP je IP pro rsyslog server. Nyní, když je vše hotovo, restartujeme službu rsyslog na klientské pracovní stanici, aby se načetly změny. Níže jsou kroky:
 
[[email protected] ~]# /etc/init.d/rsyslog restart
Vypnutí systémového záznamníku:[SELHALO]
Spuštění systémového záznamníku:[ OK ]
 

 
Nyní se vraťme na náš server rsyslog a podívejme se, zda byla v adresáři protokolu rsyslog vytvořena složka pro název hostitele klienta rsyslog. Níže jsou kroky:
 
[[email protected] ~]# cd var/log/rsyslog_client/
[[email protected] rsyslog_client]# ls
RSYS01 CLIENT01
 

 
Výborně, všimněte si, že složka s názvem hostitele klienta rsyslog byla vytvořena automaticky. To potvrzuje, že naše konfigurace je správná a klient rsyslog je schopen vytvořit připojení UDP k serveru rsyslog.
 

 Při dalším testovacím postupu se přihlásíme do klienta rsyslog jako jiný uživatel a uvidíme, zda se serveru rsyslog podaří zachytit aktivitu nebo ne. Níže jsou kroky:
 
::CLIENT01::
přihlaste se jako:shahril
Heslo uživatele [chráněno e-mailem]:
Poslední přihlášení:Ne 23. října 00:21:40 2016 ze 172.20.181.11 
[[email protected] ~]$ who
shahril pts/0 2016-10-24 17:01 (192.168.43.80)
 
[[email protected] ~]$ exit
 

 
Nyní se podívejme do adresáře protokolů na serveru rsyslog, abychom zjistili, zda se nám podařilo zaznamenat aktivitu vytvořenou z klienta rsyslog nebo ne.
 
[[email protected] ~]# cd var/log/rsyslog_client/
[[email protected] rsyslog_client]# cd CLIENT01/
[[email protected] CLIENT01]# ls
 rsyslogd.log sshd.log
[[e-mail chráněný] CLIENT01]# tail -10 sshd.log
24. října 17:01:47 CLIENT01 sshd[2102]:Přijímané heslo pro shahril z portu 192.168.43.80 17002 ssh2
24. října 17:01:47 CLIENT01 sshd[2102]:pam_unix(sshd:session):relace otevřena pro uživatele shahril (uid=0)
 

 
Skvělé, výsledek ukazuje, že proces funguje podle očekávání. Nyní pro závěrečné testování, pojďme se znovu přihlásit ke klientovi rsyslog a nainstalovat balíček, který otestuje, zda služba rsyslog zvládá protokolovat jinou aktivitu než vytváření relace. Níže jsou kroky:
 
::CLIENT01::
přihlaste se jako:root
Heslo uživatele [chráněno e-mailem]:
Poslední přihlášení:So 22. října 10:21:40 2016 z 172.20.181.11 
[[email protected] ~]# yum install firefox -y
Načtené pluginy:refresh-packagekit, security
Repositář 'OEL64' nemá v konfiguraci název, používá se id
Nastavení Instalovat proces
Řešení závislostí
--> Spuštění kontroly transakcí
---> Balíček firefox.i686 0:10.0.12-1.0.1.el6_3 bude nainstalován
--> Dokončené vyřešení závislostí
 
Vyřešené závislosti
 
===================================================================================
Velikost úložiště verze archivu balíčku
==================================================================================
Instalace :
firefox i686 10.0.12-1.0.1.el6_3 OEL64 20 M
 
Shrnutí transakcí
===================================================================================
Instalujte 1 balíček(y)
 
Celková velikost ke stažení:20 M
Instalovaná velikost:23 M
 Stahování balíčků:
Spuštění rpm_check_debug
Spuštění testu transakce
Transa Test akce byl úspěšný
Spuštění transakce
Instalace:firefox-10.0.12-1.0.1.el6_3.i686 1/1
Ověřování:firefox-10.0.12-1.0.1.el6_3.i686 1/1
 
Nainstalováno:
firefox.i686 0:10.0.12-1.0.1.el6_3
 
Dokončeno!
 

 Výše uvedené ukazuje, že jsme úspěšně nainstalovali instalační program prohlížeče firefox do naší klientské pracovní stanice rsyslog. Nyní se vraťme na náš server rsyslog a zkontrolujte, zda byl rsyslog schopen zaznamenat proces instalace balíčku třetí strany do pracovní stanice. Níže jsou kroky:
 
[[chráněn e-mailem] ~]# cd var/log/rsyslog_client/
[[chráněn e-mailem] KLIENT01]# ls
rsyslogd.log sshd.log yum.log
[[ email protected] CLIENT01]# tail -20 yum.log
25. října 17:13:17 CLIENT01 yum[2319]:Nainstalováno:firefox-10.0.12-1.0.1.el6_3.i686
 

 Vynikající, služba rsyslog dokázala auditovat informace o instalační aktivitě na klientské pracovní stanici.