Rsyslog je logovací server používaný v systémech Linux. Je to vylepšená verze Syslogu. Rsyslog také podporuje databáze (MySQL, PostgreSQL ) k ukládání protokolů. Je to výchozí protokolovací server používaný od vydání CentOS/RHEL 6. Rsyslog je vylepšená verze služby syslog os v Linuxu. Tento článek je určen pro konfiguraci serveru centralizovaného protokolování v našem hostitelském prostředí.
Tento článek vám pomůže nainstalovat službu Rsyslog na CentOS/RHEL 5 a nakonfigurovat Rsyslog pro odesílání všech protokolů na centrální server. Naším hlavním cílem je, aby všechny naše soubory protokolu byly na místě, odkud je můžeme snadno zálohovat nebo použít jakýkoli analyzátor k jejich analýze na jednom místě. Nemusíme nastavovat zálohování na každém serveru zvlášť.
Krok 1:Nainstalujte službu Rsyslog
Rsyslog je standardně nainstalován na systémech založených na RHEL od vydání RHEL 6. Nainstalujte službu Rsyslog do centrálního logovacího systému i do klientských systémů. Pomocí následujících příkazů nainstalujte službu Rsyslog ve starších verzích systémů RHEL/CentOS.
# yum install rsyslog
Po instalaci spusťte službu rsyslog a ujistěte se, že je syslog na serveru zastaven.
# service syslog stop # chkconfig syslog off # service rsyslog start # chkconfig rsyslog on
Krok 2:Nakonfigurujte Rsyslog na centrálním protokolovacím serveru
Nyní musíme nakonfigurovat Rsyslog na centrálním protokolovacím serveru, aby přijímal protokoly od vzdálených klientů a ukládal je na různá místa.
Krok 2.1:Povolte SELinux
Pokud máte na svém systému povolen SELinux, použijte následující příkaz k povolení provozu rsyslog na portu 514.
# semanage -a -t syslogd_port_t -p udp 514
Krok 2.2:Nastavení umístění souboru protokolu
Nyní upravte konfigurační soubor Rsyslog a nakonfigurujte umístění pro generování souborů protokolu v systému.
# vim /etc/rsyslog.conf
a přidejte následující řádky na konec souboru.
$template TmplAuth, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log" authpriv.* ?TmplAuth *.info,mail.none,authpriv.none,cron.none ?TmplMsg
Krok 2.3:Povolte modul a protokol UDP
Také odstraňte komentář z následujících řádků (odstraňte počáteční #) v konfiguračním souboru rsyslog, abyste povolili UDP.
$ModLoad imudp $UDPServerRun 514
Krok 2.4:Otevřete přístup v bráně firewall
Pokud používáte iptables k ochraně vašeho systému, musíte přidat následující pravidlo pro otevření portu
# iptables -A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT
Krok 2.5:Restartujte Rsyslog
Po provedení výše uvedených změn na centrálním serveru Rsyslog restartujte službu pomocí následujícího příkazu.
# service rsyslog restart
Krok 3:Konfigurace Rsyslog na klientských uzlech
Po konfiguraci centralizovaného serveru Rsyslog můžete nakonfigurovat systém klientů tak, aby tam posílal protokoly na centrální server Rsyslog. Přihlaste se ke každému klientskému uzlu a přidejte následující řádek na konec souboru
# vim /etc/rsyslog.conf
přidejte pod řádek, změňte název hostitele nebo ip pomocí ip/název hostitele systému Rsyslog.
*.* @192.168.1.254:514 [or ] *.* @logserver.example.com:514
a restartujte službu rsyslog pomocí následujícího příkazu.
# service rsyslog restart
A nastavení vašeho centralizovaného protokolovacího serveru bylo úspěšně dokončeno.