Като администратори, персонал за ИТ поддръжка или мениджъри в областта на мрежите и системите, ние имаме нещо основно, което да ни помогне да следим всяко събитие, което се случва в системата, както на ниво потребители, приложения, така и на самата система, а това са събития.
Всяко събитие регистрира поредица от елементи, които ни помагат да определим подробно всяка дейност със стойности като дата, час, ID, потребител и събитие, което се е случило, като по този начин ни позволява много по -централизирано управление и администриране.
Можем да видим, че всеки запис принадлежи към различна категория като система, сигурност и т.н.
В Linux среди имаме на разположение помощната програма Rsyslog, с която ще бъде възможно да се управляват тези събития по прост и пълен начин.
Какво е RsyslogRsyslog (система за бързи ракети за регистрация - бърза система за обработка на дневници) е помощна програма, предназначена да предлага висока производителност, отлични функции за сигурност и модулен дизайн, който позволява тя да бъде мащабируема според нуждите на всяка компания.
Rsyslog може да приема данни от голямо разнообразие от източници, да ги трансформира и да генерира резултати за различни дестинации, оптимизирайки управлението на ИТ.
RSYSLOG може да доставя повече от един милион съобщения в секунда до локални дестинации, когато се прилага ограничена обработка, включително отдалечени дестинации.
Функции на RsyslogКогато използваме Rsyslog ще имаме функции като:
- $ LocalHostName [name] директива: Тази директива ни позволява да презапишем името на хоста на системата с посоченото в директивата. Ако директивата е дадена многократно, всички, освен последната, ще бъдат игнорирани.
- Добавена е поддръжка на Hadoop HDFS.
- Той има импстат модул за пускане на периодична статистика по броячите на Rsyslog.
- Той има приставката imptcp.
- Включва нов тип модул "генератор на низове", използван за ускоряване на обработката на изхода.
- Поддържа OSX и Solaris.
- Възможност за създаване на персонализирани анализатори на съобщения.
- Поддръжка на множество правила за imudp.
- Нов интерфейс на модул за излизане от транзакции, който осигурява превъзходна производителност.
- Многоконци
- Поддържа TCP, SSL, TLS, RELP протоколи
- Поддържа MySQL, PostgreSQL, Oracle и др
- Филтрирайте всяка част от съобщението на syslog
- Напълно конфигурируем изходен формат
- Подходящ за излъчващи мрежи от бизнес класа
Rsyslog филтриранеRsyslog може да филтрира съобщения на syslog въз основа на избрани свойства и действия, тези филтри са:
- Съоръжения или приоритетни картотеки
- Филтри, базирани на собственост
- Филтри, базирани на изрази
Филтърът за съоръжения е представен от вътрешната подсистема на Linux, която е отговорна за създаването на записите, имаме следните опции:
- auth / authpriv = Те са съобщенията, произведени от процесите за удостоверяване
- cron = Те са записи, свързани с cron задачи
- daemon = Това са съобщения, свързани с работещите системни услуги
- kernel = Показва съобщения за ядрото на Linux
- поща = Включва съобщения от пощенския сървър
- syslog = Те са съобщения, свързани със syslog или други демони
- lpr = Обхваща принтери или съобщения на сървър за печат
- local0 - local7 = Брой персонализирани съобщения под администраторски контрол
- emerg = Спешен случай - 0
- сигнал = Сигнали - 1
- err = Грешки - 3
- warn = Предупреждения - 4
- забележка = Известие - 5
- info = Информация - 6
- debbug = Отстраняване на грешки - 7
1. Как да конфигурирате и проверите състоянието на Rsyslog в Linux
Етап 1
Демонът Rsyslog се инсталира автоматично в повечето дистрибуции на Linux, но ако не, трябва да изпълним следните команди:
В системите на Debian
sudo apt-get install Rsyslog
На системите RedHat или CentOS
sudo yum инсталирайте Rsyslog
Стъпка 2
Можем да проверим текущото състояние на Rsyslog, като изпълним следния ред:
На дистрибуции на Linux, които използват Systemd
systemctl статус rsyslog.service
В по -старите версии на Linux
услуга rsyslog статус /etc/init.d/rsyslog статус
Увеличете
Стъпка 3
В случай, че състоянието на услугата Rsyslog е неактивно, можем да го стартираме, като изпълним следното:
В новите версии на Linux
systemctl стартирайте rsyslog.service
В по -старите версии на Linux
услуга rsyslog старт /etc/init.d/rsyslog старт
Увеличете
2. Конфигурация на Rsyslog в Linux
За да конфигурираме програма rsyslog да работи в режим сървър, трябва да редактираме конфигурационния файл в директорията /etc/rsyslog.conf.
Етап 1
Достъпваме с помощта на желания редактор:
sudo nano /etc/rsyslog.conf
Увеличете
Стъпка 2
Там ще направим следните промени. Намерете и декомментирайте, премахвайки знака (#), от следните редове, за да разрешите получаването на UDP дневникови съобщения на порт 514. По подразбиране, UDP портът се използва от syslog за изпращане и получаване на съобщения:
$ ModLoad imudp $ UDPServerRun 514Стъпка 3
Протоколът UDP не е надежден за обмен на данни през мрежа, така че можем да конфигурираме Rsyslog за изпращане на дневници до отдалечен сървър чрез TCP протокол. За да активираме протокола за приемане на TCP, ще премахнем следните редове:
$ ModLoad imtcp $ InputTCPServerRun 514Стъпка 4
Това ще позволи на демона на rsyslog да се свърже и да слуша на TCP сокет на порт 514.
И двата протокола могат да бъдат активирани в rsyslog, за да работят едновременно в Linux.
Ако е необходимо да се посочи на кои податели е разрешен достъп до демона на rsyslog, трябва да добавим следните редове:
$ AllowedSender TCP, 127.0.0.1, 192.168.0.5/24, * .domain.com
Увеличете
Стъпка 5
В този момент ще бъде необходимо да се създаде нов шаблон, който да бъде анализиран от демона на rsyslog, преди да получи входящите регистрационни файлове. Този шаблон трябва да каже на локалния Rsyslog сървър къде да съхранява входящи съобщения в дневника. Този шаблон ще отиде след реда $ AllowedSender:
$ template Incoming-logs, " / var / log /% HOSTNAME% /% PROGRAMNAME% .log" *. *? Incoming-logs & ~
Увеличете
Стъпка 6
За да запишем само съобщенията, генерирани от kern, ще добавим следното. С горното, получените записи се анализират от шаблона и ще се съхраняват в локалната файлова система в директорията / var / log /, по пътя:% HOSTNAME% и% PROGRAMNAME%.
kern. *? Incoming-logsСтъпка 7
Можем да запазим промените, като използваме следната комбинация от клавиши:
Ctrl + O
Оставяме редактора, използвайки:
Ctrl + X
3. Рестартирайте услугата и проверете Rsyslog портовете в Linux
Етап 1
Когато правим какъвто и да е вид промяна, трябва да рестартираме услугата, като изпълним една от следните опции:
sudo услуга rsyslog рестартиране sudo systemctl рестартиране RsyslogСтъпка 2
За да проверим портовете, използвани от Rsyslog, ще изпълним следното:
sudo netstat -tulpn | grep rsyslogСтъпка 3
Както посочихме, използваният порт ще бъде 514, трябва да го разрешим във защитната стена за използване със следните редове.
На RedHat и CentOS
firewall-cmd --permanent --add-port = 514 / tcp firewall-cmd -reload
В Debian
ufw позволяват 514 / tcp ufw позволяват 514 / udpАко използваме IPTables:
iptables -A INPUT -p tcp -m tcp --dport 514 -j ACCEPT iptables -A INPUT -p udp --dport 514 -j ACCEPT
Увеличете
По този начин сме инсталирали Rsyslog в Linux, за да управляваме различните видове регистрационни файлове, които постоянно се генерират в него.
