Settu upp miðlægan annálþjón með Rsyslog í CentOS/RHEL 8

Til þess að kerfisstjórar geti greint eða greina vandamál á CentOS 8 eða RHEL 8 netþjóni er mikilvægt að vita og skoða atburðina sem áttu sér stað á þjóninum á tilteknu tímabili úr annálaskrám sem finnast í /var /log möppuna í kerfinu.

Syslog (System Logging Protocol) kerfið á þjóninum getur virkað sem miðlægur log eftirlitsstaður yfir neti þar sem allir netþjónar, nettæki, rofar, beinar og innri þjónusta sem búa til logs, hvort sem það er tengt við tiltekið innra vandamál eða bara upplýsandi skilaboð geta sent skrárnar sínar.

Á CentOS/RHEL 8 netþjóni er Rsyslog púkinn mikilvægasti logþjónninn sem er sjálfgefið foruppsettur, síðan Systemd Journal Daemon (journald).

Rsyslog er opinn uppspretta tól, þróað sem viðskiptavinur/miðlara arkitektúrþjónusta og getur náð báðum hlutverkum sjálfstætt. Það getur keyrt sem þjónn og safnað saman öllum annálum sem send eru af öðrum tækjum yfir netið eða það getur keyrt sem viðskiptavinur með því að senda alla innri kerfisatburði skráða á ytri Syslog netþjón.

Uppsetning á \CentOS 8.0 með skjámyndum
Uppsetning á RHEL 8 með skjámyndum

Til að setja upp miðlægan annálþjón á CentOS/RHEL 8 netþjóni þarftu að athuga hvort /var skiptingin hafi nóg pláss (nokkur GB að lágmarki) til að geyma allar skráðar annálaskrár á kerfinu sem senda frá öðrum tækjum á netinu. Ég mæli með að þú hafir sérstakt drif (LVM eða RAID) til að tengja /var/log/ möppuna.

Hvernig á að stilla Rsyslog Server í CentOS/RHEL 8

1. Eins og ég sagði, Rsyslog þjónusta er uppsett og keyrir sjálfkrafa á CentOS/RHEL 8 miðlara. Til að staðfesta að púkinn sé í gangi í kerfinu skaltu keyra eftirfarandi skipun.

# systemctl status rsyslog.service

Ef þjónustan er ekki í gangi sjálfgefið skaltu keyra eftirfarandi skipun til að ræsa rsyslog púkann.

# systemctl start rsyslog.service

2. Ef Rsyslog tólið er ekki sjálfgefið uppsett á kerfinu sem þú ætlar að nota sem miðlægan skráningarþjón skaltu keyra eftirfarandi dnf skipun til að setja upp rsyslog pakkann og ræsa púkann.

# dnf install rsyslog
# systemctl start rsyslog.service

3. Þegar Rsyslog tólið hefur verið sett upp geturðu nú stillt rsyslog sem miðlægan skráningarþjón með því að opna aðalstillingarskrána /etc/rsyslog.conf, til að taka á móti logskilaboðum fyrir utanaðkomandi viðskiptavini.

# vi /etc/rsyslog.conf

Í /etc/rsyslog.conf stillingarskránni, finndu og afskrifaðu eftirfarandi línur til að veita UDP flutningsmóttöku á Rsyslog þjóninum um 514 tengi. Rsyslog notar staðlaða UDP-samskiptareglur fyrir flutning annála.

module(load="imudp") # needs to be done just once
input(type="imudp" port="514")

4. UDP-samskiptareglur eru ekki með TCP-kostnaður og hún gerir gagnaflutning hraðari en TCP-samskiptareglur. Aftur á móti tryggir UDP samskiptareglur ekki áreiðanleika sendra gagna.

Hins vegar, ef þú vilt nota TCP samskiptareglur fyrir móttöku annála, verður þú að finna og afskrifa eftirfarandi línur í /etc/rsyslog.conf stillingarskránni til að stilla Rsyslog púkinn til að binda og hlusta á TCP fals á 514 tengi.

module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514")

5. Búðu til nýtt sniðmát til að taka á móti fjarskilaboðum, þar sem þetta sniðmát mun leiðbeina staðbundnum Rsyslog miðlara, hvar á að vista móttekin skilaboð sem send eru af Syslog netþjónum.

$template RemoteLogs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
*.* ?RemoteLogs

$template RemoteLogs tilskipunin leiðir Rsyslog púkann til að safna saman og skrifa öll send annálsskilaboð í sérstakar skrár, byggt á nafni biðlara og ytra biðlaraforriti sem bjó til skilaboðin út frá útlistuðum eiginleikum sem bætt var við í sniðmátsstillingar: %HOSTNAME% og %PROGRAMNAME%.

Allar mótteknar annálaskrár verða skrifaðar á staðbundið skráarkerfi í úthlutaða skrá sem heitir eftir hýsingarheiti biðlaravélarinnar og geymd í /var/log/ möppu.

& ~ tilvísunarreglan beinir staðbundnum Rsyslog miðlara til að hætta að vinna frekar úr mótteknum annálsskilaboðum og fjarlægja skilaboðin (ekki skrifa þau í innri skrár).

RemoteLogs er handahófskennt heiti sem er gefið þessari sniðmáttilskipun. Þú getur notað hvaða nafn sem þú vilt sem hentar best fyrir sniðmátið þitt.

Til að stilla flóknari Rsyslog sniðmát skaltu lesa Rsyslog stillingarskrárhandbókina með því að keyra man rsyslog.conf skipunina eða skoða Rsyslog netskjöl.

# man rsyslog.conf

6. Eftir að hafa gert ofangreindar stillingarbreytingar geturðu endurræst Rsyslog púkann til að beita nýlegum breytingum með því að keyra eftirfarandi skipun.

# service rsyslog restart

7. Þegar þú hefur endurræst Rsyslog þjóninn ætti hann nú að virka sem miðlægur annálþjónn og taka upp skilaboð frá Syslog viðskiptavinum. Til að staðfesta Rsyslog netinnstungurnar skaltu keyra grep tólið til að sía rsyslog strenginn.

# netstat -tulpn | grep rsyslog

Ef netstat skipunin er ekki uppsett á CentOS 8 geturðu sett hana upp með eftirfarandi skipun.

# dnf whatprovides netstat
# dnf install net-tools

8. Ef þú ert með SELinux virkt í CentOS/RHEL 8 skaltu keyra eftirfarandi skipun til að leyfa rsyslog umferð eftir tegund nettengis.

# semanage port -a -t syslogd_port_t -p udp 514
# semanage port -a -t syslogd_port_t -p tcp 514

Ef semanage skipunin er ekki sett upp á CentOS 8 geturðu sett hana upp með eftirfarandi skipun.

# dnf whatprovides semanage
# dnf install policycoreutils-python-utils

9. Ef þú ert með eldvegg virkan á kerfinu skaltu keyra eftirfarandi skipun til að bæta við nauðsynlegum reglum til að leyfa rsyslog umferð á höfnum í Firewalld.

# firewall-cmd --permanent --add-port=514/tcp
# firewall-cmd --permanent --add-port=514/udp
# firewall-cmd --reload

Þú getur líka takmarkað komandi tengingar á tengi 514 frá hvítlista IP sviðum eins og sýnt er.

# firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="123.123.123.0/21" port port="514" protocol="tcp" accept'
# firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="123.123.123.0/21" port port="514" protocol="udp" accept'
# firewall-cmd --reload

Það er allt og sumt! Rsyslog er nú stillt sem miðlægur annálaþjónn og getur safnað annálum frá ytri viðskiptavinum. Í næstu grein munum við sjá hvernig á að stilla Rsyslog viðskiptavin á CentOS/RHEL 8 netþjóni.