Jako správci, pracovníci podpory IT nebo manažeři oblastí sítí a systémů máme něco zásadního, co nám pomáhá sledovat každou událost, ke které v systému dojde, a to jak na úrovni uživatelů, aplikací nebo samotného systému, a to jsou Události.
Každá událost registruje řadu prvků, které nám pomáhají podrobně určit každou aktivitu s hodnotami, jako je datum, čas, ID, uživatel a událost, ke které došlo, což nám umožňuje mnohem centralizovanější správu a správu.
Vidíme, že každý záznam patří do jiné kategorie, jako je systém, zabezpečení atd.
V prostředích Linuxu máme k dispozici utilitu Rsyslog, pomocí které bude možné tyto události spravovat jednoduchým a úplným způsobem.
Co je RsyslogRsyslog (raketově rychlý systém pro log - rychlý systém pro zpracování logu) je nástroj navržený tak, aby nabízel vysoký výkon, vynikající bezpečnostní funkce a modulární design, který umožňuje jeho škálovatelnost tak, aby vyhovovala potřebám každé společnosti.
Rsyslog je schopen přijímat vstupy z celé řady zdrojů, transformovat je a generovat výsledky pro různé destinace, optimalizovat správu IT.
Při použití omezeného zpracování, včetně vzdálených cílů, je RSYSLOG schopen doručit více než jeden milion zpráv za sekundu do místních destinací.
Funkce RsyslogPři používání Rsyslogu budeme mít funkce jako:
- $ LocalHostName [name] směrnice: Tato směrnice nám umožňuje přepsat název hostitele systému tím, který je uveden ve směrnici. Pokud je směrnice zadána vícekrát, všechny kromě poslední budou ignorovány.
- Přidána podpora Hadoop HDFS.
- Má modul impstat pro spouštění pravidelných statistik na čítačích Rsyslog.
- Má plugin imptcp.
- Obsahuje nový typ modulu „generátor řetězců“, který slouží ke zrychlení zpracování výstupu.
- Podporuje OSX a Solaris.
- Možnost vytvářet vlastní analyzátory zpráv.
- Podpora více pravidel pro imudp.
- Nové rozhraní transakčního výstupního modulu, které poskytuje vynikající výkon.
- Vícevláknové
- Podporuje protokoly TCP, SSL, TLS, RELP
- Podporuje MySQL, PostgreSQL, Oracle a další
- Filtrujte jakoukoli část zprávy syslog
- Plně konfigurovatelný výstupní formát
- Vhodné pro vysílací sítě podnikové třídy
Filtrování RsyslogRsyslog může filtrovat zprávy syslog na základě vybraných vlastností a akcí, tyto filtry jsou:
- Zařízení nebo prioritní filtry
- Filtry založené na vlastnostech
- Filtry založené na výrazu
Filtr zařízení je reprezentován interním subsystémem Linux, který je zodpovědný za vytváření záznamů, máme následující možnosti:
- auth / authpriv = Jsou to zprávy vytvářené autentizačními procesy
- cron = Jsou to záznamy spojené s úkoly cron
- daemon = Toto jsou zprávy související se spuštěnými systémovými službami
- kernel = Udává zprávy jádra Linuxu
- mail = Zahrnuje zprávy z poštovního serveru
- syslog = Jsou to zprávy související se syslogem nebo jinými démony
- lpr = Pokrývá tiskárny nebo zprávy tiskového serveru
- local0 - local7 = Počítat vlastní zprávy pod správou správce
- emerg = Emergency - 0
- alert = Alerts - 1
- err = Chyby - 3
- varovat = Varování - 4
- oznámení = Oznámení - 5
- info = informace - 6
- debbug = Ladění - 7
1. Jak konfigurovat a zkontrolovat stav Rsyslog v Linuxu
Krok 1
Démon Rsyslog se automaticky instaluje na většinu distribucí Linuxu, ale pokud ne, musíme spustit následující příkazy:
Na systémech Debian
sudo apt-get install Rsyslog
Na systémech RedHat nebo CentOS
sudo yum nainstalovat Rsyslog
Krok 2
Aktuální stav Rsyslog můžeme zkontrolovat spuštěním následujícího řádku:
V distribucích Linuxu, které používají Systemd
systemctl status rsyslog.service
Ve starších verzích Linuxu
stav služby rsyslog /etc/init.d/rsyslog status
ZVĚTŠIT
Krok 3
V případě, že je stav služby Rsyslog neaktivní, můžeme ji spustit spuštěním následujícího:
V nových verzích Linuxu
systemctl start rsyslog.service
Ve starších verzích Linuxu
služba rsyslog start /etc/init.d/rsyslog start
ZVĚTŠIT
2. Konfigurace Rsyslog na Linuxu
Chcete -li konfigurovat program rsyslog tak, aby běžel v režimu serveru, musíme upravit konfigurační soubor v adresáři /etc/rsyslog.conf.
Krok 1
Máme přístup pomocí požadovaného editoru:
sudo nano /etc/rsyslog.conf
ZVĚTŠIT
Krok 2
Tam provedeme následující změny. Vyhledejte a odkomentujte odebráním znaku (#) z následujících řádků, abyste povolili příjem zpráv protokolu UDP na portu 514. Ve výchozím nastavení port UDP používá syslog k odesílání a přijímání zpráv:
$ ModLoad imudp $ UDPServerRun 514Krok 3
Protokol UDP není spolehlivý pro výměnu dat po síti, takže můžeme nakonfigurovat Rsyslog pro odesílání zpráv protokolu na vzdálený server prostřednictvím protokolu TCP. Abychom povolili protokol pro příjem TCP, odstraníme následující řádky:
$ ModLoad imtcp $ InputTCPServerRun 514Krok 4
To umožní démonovi rsyslog svázat a poslouchat na soketu TCP na portu 514.
Oba protokoly lze povolit v rsyslog, aby běžely současně na Linuxu.
Pokud je nutné určit, kterým odesílatelům je povolen přístup k démonu rsyslog, musíme přidat následující řádky:
$ AllowedSender TCP, 127.0.0.1, 192.168.0.5/24, * .domain.com
ZVĚTŠIT
Krok 5
V tomto okamžiku bude nutné vytvořit novou šablonu, kterou bude démon rsyslog analyzovat před přijetím příchozích protokolů. Tato šablona by měla informovat místní server Rsyslog, kam ukládat příchozí zprávy protokolu. Tato šablona půjde za řádek $ AllowedSender:
$ template Incoming-logs, " / var / log /% HOSTNAME% /% PROGRAMNAME% .log" *. *? Příchozí protokoly & ~
ZVĚTŠIT
Krok 6
Abychom zaznamenali pouze zprávy generované kernem, přidáme následující. S výše uvedeným jsou přijaté záznamy analyzovány šablonou a budou uloženy v místním systému souborů v adresáři / var / log / na cestě:% HOSTNAME% a% PROGRAMNAME%.
kern. *? Příchozí protokolyKrok 7
Změny můžeme uložit pomocí následující kombinace kláves:
Ctrl + O
Editor opustíme pomocí:
Ctrl + X
3. Restartujte službu a zkontrolujte porty Rsyslog v systému Linux
Krok 1
Když provádíme jakýkoli typ změny, musíme službu restartovat provedením jedné z následujících možností:
sudo service rsyslog restart sudo systemctl restart RsyslogKrok 2
Abychom zkontrolovali porty používané Rsyslogem, provedeme následující:
sudo netstat -tulpn | grep rsyslogKrok 3
Jak jsme naznačili, použitý port bude 514, musíme jej povolit ve firewallu pro použití s následujícími řádky.
Na RedHat a CentOS
firewall-cmd --permanent --add-port = 514 / tcp firewall-cmd -reload
V Debianu
ufw povolit 514 / tcp ufw povolit 514 / udpPokud používáme IPTables:
iptables -A INPUT -p tcp -m tcp --dport 514 -j ACCEPT iptables -A INPUT -p udp --dport 514 -j ACCEPT
ZVĚTŠIT
Tímto způsobem jsme nainstalovali Rsyslog v Linuxu pro správu různých typů protokolů, které jsou v něm neustále generovány.
