Kao administratori, osoblje za IT podršku ili upravitelji područja mreža i sustava, imamo nešto temeljno što nam pomaže u praćenju svakog događaja koji se dogodi unutar sustava, na razini korisnika, aplikacija ili samog sustava, a to su događajima.
Svaki događaj registrira niz elemenata koji nam pomažu u detaljnom određivanju svake aktivnosti s vrijednostima kao što su datum, vrijeme, ID, korisnik i događaj koji se dogodio, što nam omogućuje mnogo centraliziranije upravljanje i administraciju.
Možemo vidjeti da svaki zapis pripada drugoj kategoriji, poput sustava, sigurnosti itd.
U Linux okruženjima na raspolaganju imamo uslužni program Rsyslog s kojim će biti moguće upravljati tim događajima na jednostavan i potpun način.
Što je RsyslogRsyslog (raketno brzi sustav za brzine - brzi sustav za obradu dnevnika) uslužni je program osmišljen tako da nudi visoke performanse, izvrsne sigurnosne značajke i modularni dizajn koji mu omogućuje prilagodbu prema potrebama svake tvrtke.
Rsyslog je u stanju prihvatiti unose iz raznih izvora, transformirati ih i generirati rezultate za različita odredišta, optimizirajući IT upravljanje.
RSYSLOG može isporučiti više od milijun poruka u sekundi lokalnim odredištima kada se primjenjuje ograničena obrada, uključujući udaljena odredišta.
Značajke RsyslogaPrilikom korištenja Rsysloga imat ćemo značajke kao što su:
- $ LocalHostName [name] direktiva: Ova direktiva omogućuje nam da prepišemo ime hosta sustava s onim navedenim u direktivi. Ako se direktiva daje više puta, zanemarit će se sve osim posljednje.
- Dodana Hadoop HDFS podrška.
- Ima impstat modul za pokretanje periodične statistike na brojačima Rsyslog.
- Ima dodatak imptcp.
- Uključuje novu vrstu modula "generator niza", koji se koristi za ubrzavanje obrade izlaza.
- Podržava OSX i Solaris.
- Sposobnost stvaranja prilagođenih rastavljača poruka.
- Podrška za više pravila za imudp.
- Novo sučelje izlaznog modula za transakcije koje pruža vrhunske performanse.
- Multi-threading
- Podržava TCP, SSL, TLS, RELP protokole
- Podržava MySQL, PostgreSQL, Oracle i još mnogo toga
- Filtrirajte bilo koji dio poruke sysloga
- Potpuno podesiv izlazni format
- Pogodno za mreže emitiranja poslovne klase
Rsyslog filtriranjeRsyslog može filtrirati poruke sysloga na temelju odabranih svojstava i radnji, a ti su filtri:
- Podnositelji zahtjeva za prioritete ili prioritete
- Filtri temeljeni na svojstvima
- Filtri temeljeni na izrazima
Filter objekta je predstavljen unutarnjim Linux podsustavom koji je odgovoran za izradu zapisa, imamo sljedeće mogućnosti:
- auth / authpriv = To su poruke koje proizvode procesi autentifikacije
- cron = To su zapisi povezani s cron zadacima
- daemon = Ovo su poruke koje se odnose na pokrenute usluge sustava
- kernel = Označava poruke jezgre Linuxa
- mail = Uključuje poruke s poslužitelja pošte
- syslog = To su poruke povezane sa syslog -om ili drugim demonima
- lpr = Pokriva pisače ili poruke poslužitelja za ispis
- local0 - local7 = Brojanje prilagođenih poruka pod kontrolom administratora
- emerg = Hitna pomoć - 0
- upozorenje = Upozorenja - 1
- err = Pogreške - 3
- upozoriti = Upozorenja - 4
- obavijest = Obavijest - 5
- info = Podaci - 6
- debbug = Otklanjanje pogrešaka - 7
1. Kako konfigurirati i provjeriti status Rsysloga u Linuxu
Korak 1
Demon Rsyslog automatski se instalira na većinu distribucija Linuxa, ali ako nije, moramo pokrenuti sljedeće naredbe:
O Debian sustavima
sudo apt-get install Rsyslog
Na RedHat ili CentOS sustavima
sudo yum instalirajte Rsyslog
Korak 2
Trenutni status Rsysloga možemo provjeriti izvršavanjem sljedeće linije:
Na distribucijama Linuxa koje koriste Systemd
systemctl status rsyslog.service
U starijim verzijama Linuxa
status rsyslog statusa /etc/init.d/rsyslog status
POVEĆAJTE
Korak 3
U slučaju da je status usluge Rsyslog neaktivan, možemo ga pokrenuti izvršavanjem sljedećeg:
U novim verzijama Linuxa
systemctl start rsyslog.service
U starijim verzijama Linuxa
usluga rsyslog start /etc/init.d/rsyslog start
POVEĆAJTE
2. Rsyslog konfiguracija na Linuxu
Da bismo konfigurirali rsyslog program za rad u poslužiteljskom načinu, moramo urediti konfiguracijsku datoteku u direktoriju /etc/rsyslog.conf.
Korak 1
Možemo pristupiti pomoću željenog uređivača:
sudo nano /etc/rsyslog.conf
POVEĆAJTE
Korak 2
Tamo ćemo izvršiti sljedeće promjene. Pronađite i uklonite komentar, uklanjajući znak (#), iz sljedećih redaka kako biste omogućili primanje poruka dnevnika UDP na priključku 514. syslog prema zadanim postavkama koristi UDP port za slanje i primanje poruka:
$ ModLoad imudp $ UDPServerRun 514Korak 3
UDP protokol nije pouzdan za razmjenu podataka putem mreže, pa možemo konfigurirati Rsyslog za slanje poruka dnevnika udaljenom poslužitelju putem TCP protokola. Kako bismo omogućili protokol prijema TCP -a, uklonit ćemo sljedeće retke:
$ ModLoad imtcp $ InputTCPServerRun 514Korak 4
To će omogućiti demonu rsysloga da se veže i sluša na TCP utičnici na portu 514.
Oba protokola mogu se omogućiti u rsyslogu da se istovremeno izvode na Linuxu.
Ako je potrebno odrediti kojim je pošiljateljima dopušten pristup demonu rsyslog, moramo dodati sljedeće retke:
$ AllowedSender TCP, 127.0.0.1, 192.168.0.5/24, * .domena.com
POVEĆAJTE
Korak 5
U ovom trenutku bit će potrebno stvoriti novi predložak koji će demon rsyslog analizirati prije primanja dolaznih dnevnika. Ovaj predložak trebao bi lokalnom poslužitelju Rsyslog reći gdje treba pohraniti dolazne poruke dnevnika. Ovaj će predložak ići iza retka $ AllowedSender:
$ template Incoming-logs, " / var / log /% HOSTNAME% /% PROGRAMNAME% .log" *. *? Incoming-logs & ~
POVEĆAJTE
Korak 6
Za snimanje samo poruka koje generira kern dodat ćemo sljedeće. S gore navedenim, primljeni zapisi se analiziraju po predlošku i pohranit će se u lokalni datotečni sustav u direktoriju / var / log /, na putu:% HOSTNAME% i% PROGRAMNAME%.
kern. *? Dolazni zapisiKorak 7
Promjene možemo spremiti pomoću sljedeće kombinacije tipki:
Ctrl + O
Urednik ostavljamo koristeći:
Ctrl + X
3. Ponovo pokrenite uslugu i provjerite portove Rsyslog na Linuxu
Korak 1
Kad izvršimo bilo koju vrstu promjene, moramo ponovno pokrenuti uslugu izvršavanjem jedne od sljedećih opcija:
sudo usluga rsyslog ponovno pokretanje sudo systemctl ponovno pokretanje RsyslogKorak 2
Za provjeru portova koje koristi Rsyslog izvršit ćemo sljedeće:
sudo netstat -tulpn | grep rsyslogKorak 3
Kao što smo naznačili, upotrijebljeni port bit će 514, moramo ga omogućiti u vatrozidu za upotrebu sa sljedećim redovima.
Na RedHatu i CentOS -u
firewall-cmd --permanent --add-port = 514 / tcp firewall-cmd -reload
U Debianu
ufw dopusti 514 / tcp ufw dopusti 514 / udpAko koristimo IPTabele:
iptables -A INPUT -p tcp -m tcp --dport 514 -j ACCEPT iptables -A INPUT -p udp --dport 514 -j ACCEPT
POVEĆAJTE
Na ovaj način smo instalirali Rsyslog u Linux za upravljanje različitim vrstama zapisa koji se u njemu stalno generiraju.
