Otu esi emepụta ihe nkesa ndekọ aha ya na Rsyslog na CentOS/RHEL 7

Ka onye na-ahụ maka sistemụ chọpụta ma ọ bụ dozie nsogbu na sistemụ sava CentOS 7 ma ọ bụ RHEL 7, ọ ga-amarịrị ma lelee ihe ndị mere na sistemụ ahụ n'otu oge site na faịlụ ndekọ echekwara na sistemụ na/var./ndekọ ndekọ.

Ihe nkesa syslog dị na igwe Linux nwere ike rụọ ọrụ nleba anya etiti na netwọkụ ebe sava niile, ngwaọrụ netwọkụ, ndị na-anya ụgbọ mmiri, ndị na-atụgharị na ọtụtụ ọrụ dị n'ime ha na-emepụta ndekọ, ma ọ bụ ihe metụtara kpọmkwem ihe dị n'ime ma ọ bụ naanị ozi ozi nwere ike izipu ndekọ ha. .

Na sistemu CentOS/RHEL 7, Rsyslog daemon bụ ihe nkesa ndekọ etinyegoro nke ọma, Systemd Journal Daemon sochiri ya.

Ihe nkesa Rsyslog na-ewu dị ka onye ahịa/ihe nkesa ụlọ ọrụ ma nwee ike ịrụ ọrụ abụọ ahụ n'otu oge. Ọ nwere ike na-agba ọsọ dị ka ihe nkesa ma na-anakọta ndekọ niile na-ebufe site na ngwaọrụ ndị ọzọ na netwọk ma ọ bụ ọ nwere ike na-agba ọsọ dị ka onye ahịa site na izipu ihe omume niile dị n'ime ime abanye na sava syslog dịpụrụ adịpụ.

Mgbe ahaziri rsyslog ka ọ bụrụ onye ahịa, enwere ike ịchekwa ndekọ ahụ na mpaghara faịlụ na sistemụ faịlụ mpaghara ma ọ bụ nwee ike izipu ya n'ime ime kama ide ya na faịlụ echekwara na igwe ma ọ bụ dee faịlụ ndekọ ihe omume na mpaghara wee ziga ha na sava syslog dịpụrụ adịpụ na. otu oge.

Ihe nkesa Syslog na-arụ ọrụ ozi ndekọ ọ bụla site na iji atụmatụ ndị a:

type (facility).priority (severity)  destination(where to send the log)

A. Ngwa ma ọ bụ ụdị data bụ usoro ime sistemụ na-ewepụta ozi. Na usoro n'ime Linux (ụlọ ọrụ) nke na-emepụta ndekọ ka ahaziri dị ka ndị a:

  • auth = ozi ewepụtara site na usoro nyocha (nbanye).
  • cron= ozi ewepụtara site na usoro ahaziri (crontab).
  • daemon = ozi sitere na daemons (ọrụ ime).
  • kernel = ozi ndị Linux Kernel n’onwe ya weputara.
  • mail= ozi nke sava ozi na-ebute.
  • syslog = ozi nke rsyslog daemon n’onwe ya weputara.
  • lpr= ozi sitere na ndị nbipute mpaghara ma ọ bụ ihe nkesa ebipụta.
  • local0 – local7 = ozi ndị onye nchịkwa kọwapụtara (a na-ekenyekarị local7 maka Cisco ma ọ bụ Windows).

B. A na-ahazikwa ọkwa ndị dị mkpa (siri ike). A na-ekenye mkpa ọ bụla na mbiri nke ọkọlọtọ yana nọmba dịka akọwara n'okpuru. Ihe kacha mkpa nke 7 bụ ọkwa dị elu nke ihe niile.

  • emerg = Mberede – 0
  • aṅa ntị = Ọkwa – 1
  • err = Emehie – 3
  • ịdọ aka ná ntị = ịdọ aka ná ntị – 4
  • ọkwa = Ọkwa – 5
  • ozi = Ozi – 6
  • debug == Imebi ihe - 7

Keywords Rsyslog pụrụ iche:

  • * = akụrụngwa niile ma ọ bụ ihe kacha mkpa
  • ọ dịghị onye = ụlọ ọrụ enweghị ihe ndị e nyere ụzọ dịka: mail.enweghị

C. Akụkụ nke atọ maka syslog schema bụ ntuziaka ebe ga-anọchi anya ya. Rsyslog daemon nwere ike izipu ozi ndekọ ka edee ya na faịlụ na sistemụ faịlụ mpaghara (ọkachasị na faịlụ dị na/var/log/ directory) ma ọ bụ ka etinyere ya na usoro mpaghara ọzọ ma ọ bụ zigara ya na njikwa njikwa mpaghara (ka stdout) , ma ọ bụ zipu ozi na sava syslog dịpụrụ adịpụ site na protocol TCP/UDP, ma ọ bụ ọbụna tụfuo ozi na /dev/null.

Iji hazie CentOS/RHEL 7 ka ọ bụrụ ihe nkesa etiti, anyị ga-ebu ụzọ lelee wee hụ na nkebi /var  ebe edere faịlụ ndekọ niile buru ibu (opekata mpe GB) ka anyị wee nwee ike ịchekwa ihe niile. faịlụ ndekọ nke ngwaọrụ ndị ọzọ ga-eziga. Ọ bụ mkpebi dị mma iji draịva dị iche (LVM, RAID) iji bulie/var/log/ directory.

  1. Usoro nwụnye CentOS 7.3
  2. Usoro nwụnye RHEL 7.3

Otu esi ahazi Rsyslog na CentOS/RHEL 7 Server

1. Site na ndabara, arụnyere ọrụ Rsyslog na-akpaghị aka ma kwesịrị ịdị na-agba ọsọ na CentOS/RHEL 7. Iji lelee ma ọ bụrụ na daemon amalitela na sistemụ, nye iwu na-esonụ na ikike mgbọrọgwụ.

# systemctl status rsyslog.service

Ọ bụrụ na ọrụ anaghị arụ ọrụ na ndabara, mebie iwu dị n'okpuru ka ịmalite rsyslog daemon.

# systemctl start rsyslog.service

2. Ọ bụrụ na etinyeghị ngwugwu rsyslog na sistemu nke ịchọrọ iji dị ka ihe nkesa na-akụ osisi etiti, nye iwu a ka ịwụnye ngwugwu rsyslog.

# yum install rsyslog

3. Nzọụkwụ mbụ nke anyị kwesịrị ime na usoro iji hazie rsyslog daemon dị ka ihe nkesa log nke etiti, ya mere ọ nwere ike ịnweta ozi log maka ndị ahịa mpụga, bụ imeghe ma dezie, site na iji nchịkọta ederede kachasị amasị gị, nhazi bụ isi. faịlụ site na /etc/rsyslog.conf, dị ka e gosiri na n'okpuru ebe a.

# vi /etc/rsyslog.conf

N'ime faịlụ nhazi nke RSSyslog, chọọ ma na-atụghị anya ahịrị ndị na-esonụ (Koodu na-amalite na ntanetị na sava Rsyslog site na sava Rsyslog site na ọdụ ụgbọ mmiri. UDP bụ ọkọlọtọ ọkọlọtọ eji maka nnyefe log site na Rsyslog.

$ModLoad imudp 
$UDPServerRun 514

4. UDP protocol enweghị TCP n'elu, nke na-eme ka ọ bụrụ ngwa ngwa maka ịnyefe data karịa TCP protocol. N'aka nke ọzọ, UDP protocol anaghị ekwe nkwa ntụkwasị obi nke data ebutere.

Agbanyeghị, ọ bụrụ na ịchọrọ iji protocol TCP maka nnabata log, ị ga-achọrịrị ma mebie ahịrị ndị a sitere na /etc/rsyslog.conf faịlụ iji hazie Rsyslog daemon iji kechie ma gee ntị oghere TCP na ọdụ ụgbọ mmiri 514. Enwere ike ịhazi oghere ntị TCP na UDP maka nnabata na sava Rsyslog n'otu oge.

$ModLoad imtcp 
$InputTCPServerRun 514

5. Na nzọụkwụ ọzọ, emechila faịlụ ahụ, mepụta template ọhụrụ nke a ga-eji maka ịnweta ozi dịpụrụ adịpụ. Ihe ndebiri a ga-akụziri ihe nkesa Rsyslog mpaghara ebe a ga-echekwa ozi enwetara site na ndị ahịa netwọk syslog. A ga-agbakwunyere ndebiri tupu mmalite nke ngọngọ GLOBAL DIRECTIVES dị ka e gosiri n'akwụkwọ dị n'okpuru.

$template RemoteLogs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
. ?RemoteLogs & ~

Ntuziaka N'elu $Template RemoteLogs  na-akuziri Rsyslog daemon ka ọ nakọta na dee ozi ndekọ niile enwetara na faịlụ dị iche iche, dabere na aha igwe ndị ahịa yana ngwa ndị ahịa dịpụrụ adịpụ (ngwa) nke mepụtara ozi dabere na njirimara akọwapụtara na-egosi na nhazi ndebiri. : %HOSTNAME% na %PROGRAMNAME%.

A ga-edenye faịlụ ndekọ ndị a niile na sistemụ faịlụ mpaghara na faịlụ raara onwe ya nye aha aha nnabata igwe ahịa wee chekwaa na/var/log/ directory.

Iwu & ~ redirect na-agwa ihe nkesa Rsyslog mpaghara ka ọ kwụsị ịhazi ozi ndekọ nnata gara n'ihu wee tụfuo ozi (agaghị ede ha na faịlụ ndekọ ndekọ).

Aha RemoteLogs bụ aha aka ike nyere ntuziaka ndebiri a. Ị nwere ike iji aha ọ bụla ị nwere ike ịhụ nke kacha mma maka template gị.

Iji dee ozi niile natara n'aka ndị ahịa n'otu faịlụ ndekọ aha aha adreesị IP nke onye ahịa dịpụrụ adịpụ, na-enweghị nzacha akụrụngwa mepụtara ozi ahụ, jiri ihe dị n'okpuru ebe a.

$template FromIp,"/var/log/%FROMHOST-IP%.log" 
. ?FromIp & ~

Ọmụmaatụ ọzọ nke ndebiri ebe ozi niile nwere ọkọlọtọ akụrụngwa ga-abanye na ndebiri aha ya bụ TmplAuth.

$template TmplAuth, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
authpriv.*   ?TmplAuth

N'okpuru bụ mpempe akwụkwọ nkọwapụta template sitere na sava Rsyslog 7:

template(name="TmplMsg" type="string"
         string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
        )

Enwere ike dee ndebiri ndebiri dị n'elu dị ka:

template(name="TmplMsg" type="list") {
    constant(value="/var/log/remote/msg/")
    property(name="hostname")
    constant(value="/")
    property(name="programname" SecurePath="replace")
    constant(value=".log")
    }

Iji dee ndebiri Rsyslog dị mgbagwoju anya, gụọ akwụkwọ ntuziaka nhazi Rsyslog site n'inye man rsyslog.conf iwu ma ọ bụ kpọtụrụ Rsyslog online akwụkwọ.

6. Mgbe ị dezie faịlụ nhazi Rsyslog na ntọala nke aka gị dị ka akọwara n'elu, malitegharịa Rsyslog daemon iji tinye mgbanwe site na ịnye iwu na-esonụ:

# service rsyslog restart

7. Ka ọ dị ugbu a, a ga-ahazi sava Rsyslog ka ọ rụọ ọrụ nkesa log nke etiti yana dekọọ ozi sitere na ndị ahịa syslog. Iji nyochaa sockets netwọk Rsyslog, jiri ohere mgbọrọgwụ mee iwu netstat wee jiri grep nyochaa eriri rsyslog.

# netstat -tulpn | grep rsyslog

8. Ọ bụrụ na ị nwere SELinux nyeere na CentOS/RHEL 7, nye iwu na-esonụ ka ịhazi SELinux iji kwe ka okporo ụzọ rsyslog dabere na ụdị oghere netwọk.

# semanage -a -t syslogd_port_t -p udp 514
# semanage -a -t syslogd_port_t -p tcp 514

9. Ọ bụrụ na ọkụ na-arụ ọrụ ma na-arụ ọrụ, gbanye iwu dị n'okpuru ebe a iji tinye iwu ndị dị mkpa maka imeghe ọdụ ụgbọ mmiri rsyslog na Firewalld.

# firewall-cmd --permanent --add-port=514/tcp
# firewall-cmd --permanent --add-port=514/udp
# firewall-cmd –reload

Ọ gwụla! Ahaziri Rsyslog ugbu a na ọnọdụ sava ma nwee ike ịhazi ndekọ sitere na ndị ahịa dịpụrụ adịpụ. N'isiokwu na-esote, anyị ga-ahụ ka esi ahazi onye ahịa Rsyslog na sava CentOS/RHEL 7.

Iji sava Rsyslog dị ka ebe nleba anya etiti maka ozi ndekọ dịpụrụ adịpụ, ị nwere ike nyochaa faịlụ ndekọ wee lelee ọnọdụ ahụike ndị ahịa ma ọ bụ mebie okwu ndị ahịa n'ụzọ dị mfe mgbe sistemụ dara ma ọ bụ nọ n'ụdị mwakpo.