Hvernig á að setja upp Rsyslog viðskiptavin til að senda logs til Rsyslog Server í CentOS 7

Logstjórnun er einn mikilvægasti þátturinn í netinnviði. Logs skilaboð eru stöðugt búin til af fjölmörgum kerfishugbúnaði, svo sem tólum, forritum, púkum, þjónustu tengdum neti, kjarna, líkamlegum tækjum og svo framvegis.

Notkunarskrár reynast gagnlegar þegar verið er að leysa Linux kerfisvandamál, fylgjast með kerfinu og fara yfir öryggisstyrk og vandamál kerfisins.

Rsyslog er opinn uppspretta skógarhöggforrit, sem er vinsælasta skráningarbúnaðurinn í gríðarlegum fjölda Linux dreifinga. Það er líka sjálfgefin skógarhöggsþjónusta í CentOS 7 eða RHEL 7.

Rsyslog púkinn í CentOS er hægt að stilla til að keyra sem netþjón til að safna logskilaboðum frá mörgum nettækjum. Þessi tæki virka sem viðskiptavinir og eru stillt til að senda annála sína á rsyslog miðlara.

Hins vegar er einnig hægt að stilla og ræsa Rsyslog þjónustuna í biðlaraham. Þessi uppsetning skipar rsyslog púknum að framsenda logskilaboð til ytri Rsyslog miðlara með því að nota TCP eða UDP flutningssamskiptareglur. Einnig er hægt að stilla Rsyslog þjónustu til að keyra sem viðskiptavinur og sem þjónn á sama tíma.

Í þessari kennslu munum við lýsa því hvernig á að setja upp CentOS/RHEL 7 Rsyslog púka til að senda logskilaboð til ytri Rsyslog netþjóns. Þessi uppsetning tryggir að hægt sé að varðveita diskpláss vélarinnar til að geyma önnur gögn.

Staðurinn þar sem næstum allar skrár eru skrifaðar sjálfgefið í CentOS er /var kerfisslóðin. Það er líka ráðlegt að búa alltaf til sérstaka skipting fyrir /var möppuna, sem hægt er að rækta á kraftmikinn hátt, til að tæma ekki /(rót) skiptinguna.

Rsyslog viðskiptavinur sendir notendaskilaboðin alltaf í venjulegum texta, ef annað er ekki tilgreint. Þú ættir ekki að setja upp Rsyslog biðlara til að senda notendaskilaboð yfir internetið eða net sem þú hefur ekki fulla stjórn á.

1. CentOS 7.3 Uppsetningaraðferð
2. RHEL 7.3 Uppsetningaraðferð
3. Stilla Rsyslog Server í CentOS/RHEL 7

Skref 1: Staðfestu Rsyslog uppsetningu

1. Sjálfgefið er að Rsyslog púkinn er þegar uppsettur og keyrður í CentOS 7 kerfi. Til að staðfesta hvort rsyslog þjónusta sé til staðar í kerfinu skaltu gefa út eftirfarandi skipanir.

# rpm -q | grep rsyslog
# rsyslogd -v

2. Ef Rsyslog pakkinn er ekki settur upp í CentOS skaltu framkvæma skipunina hér að neðan til að setja upp þjónustuna.

# yum install rsyslog

Skref 2: Stilltu Rsyslog þjónustu sem viðskiptavinur

3. Til þess að framfylgja Rsyslog púknum sem er uppsettur á CentOS 7 kerfi til að virka sem skráningarbiðlari og beina öllum staðbundnum annálaskilaboðum á ytri Rsyslog miðlara, breyttu rsyslog stillingarskránni sem hér segir:

Opnaðu fyrst aðalstillingarskrána til að breyta.

# vi /etc/rsyslog.conf

Bættu síðan við línunni fyrir neðan í lok skrárinnar eins og sýnt er í útdrættinum hér að neðan.

*. *  @192.168.10.254:514

Á ofangreindri línu skaltu ganga úr skugga um að þú skiptir um IP tölu FQDN ytri rsyslog netþjónsins í samræmi við það. Ofangreind lína gefur Rsyslog púknum fyrirmæli um að senda öll notendaskilaboð, óháð aðstöðu eða alvarleika, til gestgjafans með IP 192.168.10.254 um 514/UDP tengi.

4. Ef ytri skráningarþjónninn er stilltur til að hlusta aðeins á TCP tengingum eða þú vilt nota áreiðanlega samskiptareglur fyrir flutningsnet, eins og TCP, skaltu bæta við öðrum @ staf fyrir framan ytri hýsilinn eins og sýnt er í dæmið hér að neðan:

*. *  @@logs.domain.lan:514

Linux rsyslog leyfir hefur einnig nokkra sérstafi, svo sem = eða !, sem hægt er að setja í forskeyti við forgangsstig til að gefa til kynna \þennan forgang eingöngu\ fyrir jöfnunarmerki og\„ekki þennan forgang eða hærri en þetta“.

Nokkur sýnishorn af undankeppni Rsyslog forgangsstigs í CentOS 7:

• kern.info = kjarnaskrár með forgang upplýsinga og hærri.
• kern.=info = aðeins kjarnaskilaboð með upplýsingaforgang.
• kern.info;kern.!err = aðeins kjarnaskilaboð með forgangsröðun upplýsinga, tilkynningar og viðvörunar.
• kern.debug;kern.!=viðvörun = öll kjarnaforgangsröðun nema viðvörun.
• kern.* = öll kjarnaforgangsskilaboð.
• kern.none = ekki skrá nein tengd skilaboð um kjarnaaðstöðu óháð forgangi.

Til dæmis, að því gefnu að þú viljir senda aðeins ákveðin aðstöðuskilaboð til ytri annálaþjóns, eins og öll tengd póstskilaboð, óháð forgangsstigi, skaltu bæta línunni fyrir neðan við rsyslog stillingarskrána:

mail.* @192.168.10.254:514 

5. Að lokum, til að beita nýju stillingunum, þarf að endurræsa Rsyslog þjónustuna til að púkinn geti tekið upp breytingarnar, með því að keyra skipunina hér að neðan:

# systemctl restart rsyslog.service

6. Ef Rsyslog púkinn af einhverjum ástæðum er ekki virkur meðan á ræsingu stendur, gefðu út skipunina hér að neðan til að virkja þjónustuna um allt kerfið:

# systemctl enable rsyslog.service

Skref 3: Sendu Apache og Nginx logs á ytri annálaþjón

7. Hægt er að stilla Apache HTTP miðlara til að senda logsskilaboð til ytri syslog miðlara með því að bæta eftirfarandi línu við aðalstillingarskrá hans eins og sýnt er í dæminu hér að neðan.

# vi /etc/httpd/conf/httpd.conf

Á Apache aðal conf skrá skaltu bæta við línunni fyrir neðan.

CustomLog "| /bin/sh -c '/usr/bin/tee -a /var/log/httpd/httpd-access.log | /usr/bin/logger -thttpd -plocal1.notice'" combined

Línan mun knýja fram HTTP púkann til að skrifa annálsskilaboðin innbyrðis í skráarkerfisskrána, en einnig vinna skilaboðin áfram í gegnum pípu til skógarhöggstækis, sem mun senda þau á fjarlægan syslog miðlara, með því að merkja þau sem koma frá staðnum1 aðstöðu.

8. Ef þú vilt líka beina Apache villuskrárskilaboðum á ytri syslog miðlara skaltu bæta við nýrri reglu eins og þeirri sem er sýnd í dæminu hér að ofan, en vertu viss um að skipta um heiti httpd annálaskrárinnar og alvarleikastig skráarskrárinnar í samsvörunarvilluforgangur, eins og sýnt er í eftirfarandi sýnishorni:

ErrorLog "|/bin/sh -c '/usr/bin/tee -a /var/log/httpd/httpd-error.log | /usr/bin/logger -thttpd -plocal1.err'"

9. Þegar þú hefur bætt við ofangreindum línum þarftu að endurræsa Apache púkinn til að beita breytingum, með því að gefa út eftirfarandi skipun:

# systemctl restart httpd.service                 

10. Frá og með útgáfu 1.7.1 hefur Nginx vefþjónn innbyggða möguleika til að skrá skilaboð sín beint á ytri syslog miðlara með því að bæta eftirfarandi línum af kóða við nginx stillingarskrá.

error_log syslog:server=192.168.1.10:514,facility=local7,tag=nginx,severity=error;
access_log syslog:server=192.168.10.254:514,facility=local7,tag=nginx,severity=info main;

Fyrir IPv6 netþjón, notaðu eftirfarandi setningafræðisnið til að láta IPv6 vistfangið fylgja með.

access_log syslog:server=[7101:dc7::9]:514,facility=local7,tag=nginx,severity=info;

11. Á ytri Rsyslog þjóninum þarftu að gera eftirfarandi breytingu á rsyslog stillingarskránni, til að geta tekið á móti annálunum sem sendar eru af Apache vefþjóninum.

local1.* @Apache_IP_address:514

Það er allt og sumt! Þú hefur stillt Rsyslog púkinn með góðum árangri til að keyra í biðlaraham og þú hefur einnig gefið Apache HTTP miðlara eða Nginx fyrirmæli um að framsenda notendaskilaboð sín til ytri syslog netþjóns.

Ef kerfið hrynur ættirðu að geta rannsakað vandamálið með því að skoða innihald annálaskrár sem eru geymdar á ytri syslog netþjóninum.