Otu esi edobe Central Logging Server na Rsyslog na Linux
Ndekọ bụ akụkụ dị oke mkpa nke ngwanrọ ma ọ bụ sistemụ arụmọrụ ọ bụla. Ndekọ na-edekọkarị omume onye ọrụ, mmemme sistemụ, ọrụ netwọkụ na ọtụtụ ndị ọzọ, dabere n'ihe e bu n'obi mee ya. Otu n'ime sistemụ osisi ndị a na-ejikarị na sistemụ Linux bụ rsyslog.
Rsyslog bụ usoro nhazi ndekọ dị ike, nchekwa na arụ ọrụ dị elu nke na-anabata data sitere na ụdị isi iyi dị iche iche (sistemụ/ngwa) wee wepụta ya n'ọtụtụ usoro.
Ọ malitere site na syslog daemon oge niile gaa na njiri mara nke ọma, sistemu ndekọ ụlọ ọrụ. Emebere ya na ụdị ahịa/ihe nkesa, ya mere enwere ike ịhazi ya dị ka onye ahịa na/ma ọ bụ dị ka ihe nkesa etiti maka sava ndị ọzọ, ngwaọrụ netwọk na ngwa dịpụrụ adịpụ.
Maka ebumnuche ntuziaka a, anyị ga-eji ndị ọbịa ndị a:
- Ihe nkesa: 192.168.241.140
- Onye ahịa: 172.31.21.58
Otu esi etinye ma hazie Rsyslog Server
Ọtụtụ nkesa Linux na-abịa na ngwungwu rsyslog etinyegoro. Ọ bụrụ na etinyeghị ya, ịnwere ike ịwụnye ya site na iji ngwa njikwa ngwugwu Linux gị dị ka egosiri.
$ sudo yum update && yum install rsyslog #CentOS 7 $ sudo apt update && apt install rsyslog #Ubuntu 16.04, 18.04
Ozugbo arụnyere rsyslog, ịkwesịrị ịmalite ọrụ ahụ ugbu a, mee ka ọ malite ịmalite na buut wee lelee ọnọdụ ya site na usoro systemctl.
$ sudo systemctl start rsyslog $ sudo systemctl enable rsyslog $ sudo systemctl status rsyslog
Isi faịlụ nhazi rsyslog dị na /etc/rsyslog.conf, nke na-ebu modul, na-akọwa ntụziaka zuru ụwa ọnụ, nwere iwu maka nhazi ozi ndekọ na ọ na-agụnye faịlụ nhazi niile na /etc/rsyslog.d/ maka ngwa/ọrụ dị iche iche. .
$ sudo vim /etc/rsyslog.conf
Na ndabara, rsyslog na-eji imjournal na imusock modul maka ibubata ozi ndekọ ahaziri ahazi site na akwụkwọ akụkọ sistemu yana maka ịnakwere ozi syslog sitere na ngwa ndị na-agba na sistemụ mpaghara site na sọket Unix, otu n'otu.
Iji hazie rsyslog ka ọ bụrụ ihe nkesa netwọk/etiti etiti, ịkwesịrị ịtọ protocol (ma UDP ma ọ bụ TCP ma ọ bụ abụọ) ọ ga-eji maka nnabata syslog dịpụrụ adịpụ yana ọdụ ụgbọ mmiri ọ na-ege ntị.
Ọ bụrụ na ịchọrọ iji njikọ UDP, nke dị ngwa ngwa ma a na-apụghị ịdabere na ya, chọọ ma mebie ahịrị ndị dị n'okpuru (dochie 514 na ọdụ ụgbọ mmiri ịchọrọ ka ọ gee ntị, nke a kwesịrị ikwekọ na adreesị ọdụ ụgbọ mmiri nke ndị ahịa na-ezigara ozi, anyị ga-ele anya. na nke a karịa mgbe ị na-ahazi onye ahịa rsyslog).
$ModLoad imudp $UDPServerRun 514
Iji jiri njikọ TCP (nke na-adị nwayọọ mana ka a pụrụ ịdabere na ya), chọọ ma mebie ahịrị ndị dị n'okpuru.
$ModLoad imtcp $InputTCPServerRun 514
N'okwu a, anyị chọrọ iji ma njikọ UDP na TCP n'otu oge.
Ọzọ, ịkwesịrị ịkọwapụta usoro iwu maka ịhazi ndekọ ndekọ dịpụrụ adịpụ n'ụdị a.
facility.severity_level destination (where to store log)
Ebe:
- akụrụngwa: bụ ụdị usoro/ngwa na-ewepụta ozi, ha gụnyere auth, cron, daemon, kernel, local0..local7. Iji
*pụtara akụrụngwa niile. - severity_level: bụ ụdị ozi ndekọ: emerg-0, alert-1, crit-2, err-3, warn-4, note-5, info-6, debug-7. Iji
*pụtara ọkwa niile siri ike ma ọ nweghị nke na-egosi enweghị ogo ogo. - ebe: bụ faịlụ mpaghara ma ọ bụ ihe nkesa rsyslog dịpụrụ adịpụ (akọwapụtara n'ụdị IP: ọdụ ụgbọ mmiri).
Anyị ga-eji usoro iwu ndị a maka ịnakọta ndekọ sitere na ndị ọbịa dịpụrụ adịpụ, na-eji template RemoteLogs. Rịba ama na iwu ndị a ga-abịarịrị tupu iwu ọ bụla maka nhazi ozi mpaghara, dịka egosiri na nseta ihuenyo.
$template RemoteLogs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" *.* ?RemoteLogs & ~
N'ileghachi anya n'ụkpụrụ iwu dị n'elu, iwu nke mbụ bụ \$template RemoteLogs,/var/log/%HOSTNAME%/%PROGRAMNAME%log.
Ntuziaka $template na-agwa rsyslog daemon ka ọ gbakọta ma dee ozi niile enwetara na ndekọ dị iche iche n'okpuru/var/log, dabere na aha nnabata (aha igwe ndị ahịa) na ebe ndị ahịa dịpụrụ adịpụ (mmemme/ngwa) nke mepụtara ozi dị ka akọwapụtara. site na ntọala dị na template RemoteLogs.
Ahịrị nke abụọ \*.* ?RemoteLogs pụtara ndekọ ozi sitere na ụlọ ọrụ niile na ọkwa niile siri ike site na iji nhazi template RemoteLogs.
Ahịrị ikpeazụ \& ~ na-agwa rsyslog ka ọ kwụsị nhazi ozi ozugbo edere ya na faịlụ. Ọ bụrụ na i tinyeghị & ~, kama a ga-edere ya na faịlụ mpaghara.
Enwere ọtụtụ ndebiri ndị ọzọ ị nwere ike iji, maka ozi ndị ọzọ, lee rsyslog nhazi peeji nke (man rsyslog.conf) ma ọ bụ rụtụ aka na Rsyslog online akwụkwọ.
Nke ahụ bụ ya na ịhazi ihe nkesa rsyslog. Chekwaa ma mechie faịlụ nhazi ahụ. Ka itinye mgbanwe ndị na-adịbeghị anya, malitegharịa rsyslog daemon site na iji iwu a.
$ sudo systemctl restart rsyslog
Ugbu a nyochaa oghere netwọk rsyslog. Jiri iwu ss (ma ọ bụ grep iji kpochapụ njikọ rsyslogd.
$ sudo ss -tulnp | grep "rsyslog"
Na-esote, na CentOS 7, ọ bụrụ na ị nwere SELinux nyeere, mee iwu ndị a iji kwe ka okporo ụzọ rsyslog dabere na ụdị oghere netwọk.
$ sudo semanage -a -t syslogd_port_t -p udp 514 $ sudo semanage -a -t syslogd_port_t -p tcp 514
Ọ bụrụ na sistemụ nwere firewall, ịkwesịrị imepe ọdụ ụgbọ mmiri 514 iji kwe ka njikọ UDP/TCP abụọ na sava rsyslog, site na ịgba ọsọ.
------------- On CentOS ------------- $ sudo firewall-cmd --permanent --add-port=514/udp $ sudo firewall-cmd --permanent --add-port=514/tcp $ sudo firewall-cmd --reload ------------- On Ubuntu ------------- $ sudo ufw allow 514/udp $ sudo ufw allow 514/tcp $ sudo ufw reload
Otu esi ahazi onye ahịa Rsyslog iji zipu ndekọ na sava Rsyslog
Ugbu a na sistemụ ndị ahịa, lelee ma ọrụ rsyslog na-arụ ọrụ ma ọ bụ na ọ bụghị site na iwu a.
$ sudo systemctl status rsyslog
Ọ bụrụ na etinyeghị ya, wụnye ya wee malite ọrụ dịka egosiri na mbụ.
$ sudo yum update && yum install rsyslog #CentOS 7 $ sudo apt update && apt install rsyslog #Ubuntu 16.04, 18.04 $ sudo systemctl start rsyslog $ sudo systemctl enable rsyslog $ sudo systemctl status rsyslog
Ozugbo ọrụ rsyslog na-arụ ọrụ, mepee faịlụ nhazi isi ebe ị ga-eme mgbanwe na nhazi ndabara.
$ sudo vim /etc/rsyslog.conf
Iji manye rsyslog daemon ka ọ rụọ ọrụ dị ka onye ahịa log wee ziga ozi ndekọ niile sitere na mpaghara na sava rsyslog dịpụrụ adịpụ, tinye iwu mbugharị a, na njedebe nke faịlụ dị ka egosiri na nseta ihuenyo na-esonụ.
*. * @@192.168.100.10:514
Iwu a dị n'elu ga-eziga ozi sitere na ụlọ ọrụ niile yana ọkwa niile siri ike. Iji zipu ozi site na otu akụrụngwa dịka ọmụmaatụ auth, jiri iwu na-esonụ.
auth. * @@192.168.100.10:514
Chekwaa mgbanwe ma mechie faịlụ nhazi. Iji tinye ntọala ndị dị n'elu, malitegharịa rsyslog daemon.
$ sudo systemctl restart rsyslog
Otu esi eleba anya nbanye nbanye na Rsyslog Server
Nzọụkwụ ikpeazụ bụ iji nyochaa ma ọ bụrụ na rsyslog na-enweta ma na-abanye ozi n'aka onye ahịa, n'okpuru /var/log, n'ụdị hostname/programname.log.
Gbaa iwu ls na ndepụta ogologo ndekọ ndekọ ndekọ nne na nna wee lelee ma enwere ndekọ akpọrọ ip-172.31.21.58 (ma ọ bụ ihe ọ bụla aha nnabata igwe onye ahịa gị bụ).
$ ls -l /var/log/
Ọ bụrụ na ndekọ ahụ dị, lelee faịlụ ndekọ n'ime ya, site na ịgba ọsọ.
$ sudo ls -l /var/log/ip-172-31-21-58/
Rsyslog bụ usoro nhazi ndekọ ọnụ ahịa dị elu, emebere ya na ụlọ ahịa/ihe nkesa. Anyị na-atụ anya na ị nwere ike ịwụnye na hazie Rsyslog ka ọ bụrụ ihe nkesa etiti/netwọk yana dịka onye ahịa dị ka egosiri na ntuziaka a.
Ị nwekwara ike chọọ ịtu aka na ibe akwụkwọ ntuziaka rsyslog dị mkpa maka enyemaka ọzọ. Nwere onwe gị inye anyị nzaghachi ọ bụla ma ọ bụ jụọ ajụjụ.