Како подесити даљинско евидентирање на Линук-у користећи рсислог

Евидентирање је критичан аспект управљања Линук сервером. Поруке дневника су корисне за анализу основног узрока и избегавање потенцијалних грешака у будућности. Анализирање и отклањање грешака на серверу је кључна вештина за ИТ инжењере и систем администраторе.

Овај водич ће вам показати како да подесите сервер за удаљено евидентирање, такође познат као лог хост, на Линук-у. Хост дневника вам омогућава да агрегирате локалне Линук евиденције на удаљени централизовани сервер ради лакшег приступа и анализе.

Зашто имати наменски сервер за евиденцију?

Линук оперативни систем бележи већину активности на вашем серверу ради ревизије и отклањања грешака помоћу демона сислог (протокол системског евидентирања). Можда се питате зашто ми је потребан наменски сервер за моје евиденције? Ево неколико предности поседовања наменског сервера за евидентирање:

• Боља сигурност јер сервер за удаљено евидентирање има само неколико портова отворених према споља.
• Побољшане перформансе сервера јер удаљени хост за евидентирање не покреће много услуга, осим оних које се користе за евидентирање.
instagram viewer
• Олакшава архивирање и управљање порукама дневника.

Поруке дневника су важне за ревизију ваших сервера и основне линије и кључни су део процедура превентивног одржавања ваше серверске инфраструктуре.

Корак 1: Инсталирање рсислог-а на Линук-у

Овај водич се фокусира на Убунту 20.04, али процес би требао бити прилично исти ако користите друге маинстреам Линук дистрибуције.

рсислог је услуга удаљеног евидентирања за Линук и подразумевано је унапред инсталирана на већини модерних Линук дистрибуција, на пример, Убунту и другим системима заснованим на Дебиан-у.

Услуга рсислог је модеран и побољшан демон за сислог, који вам омогућава само локално управљање евиденцијама. Са рсислог демоном, можете слати своје локалне евиденције на неки конфигурисани удаљени Линук сервер.

Ако немате инсталиран рсислог на рачунару, то можете лако да урадите користећи следећу команду, на дистрибуцијама заснованим на Дебиан-у:

судо апт инсталл рсислог

На Ред Хат Линук-у можете га инсталирати тако што ћете откуцати:

иум инсталл рсислог

На Федори и њеним дериватима покрените:

днф инсталл рсислог

Да бисте инсталирали рсислог на Арцх Линук:

иаи -С рсислог

Да бисте проверили статус рсислог-а, покрените следећу команду:

системцтл статус рсислог

Излаз:

Корак 2: Конфигурисање хост сервера дневника

Хост дневника је сервер конфигурисан да прима поруке дневника са других сервера или рачунара. Конфигурација рсислог се налази у /etc/rsyslog.conf фајл.

Можете отворити /etc/rsyslog.conf датотеку користећи било који уређивач текста по вашем избору. У овом водичу користићемо Вим.

Биће вам потребне повећане привилегије да бисте извршили промене у конфигурационој датотеци.

Пре него што почнете да уређујете конфигурациону датотеку, требало би да направите резервну копију или копију датотеке. Да бисте то урадили, покрените наредбу:

судо цп /етц/рсислог.цонф /етц/рсислог_оригинал.цонфиг

Затим отворите /etc/rsyslog.conf датотеку помоћу уређивача текста.

судо вим /етц/рсислог.цонф 

Постоје два протокола која можете користити за слање/пријем датотека евиденције са рсислог: ТЦП и УДП. Овај водич вам показује како да конфигуришете оба.

Не морате да конфигуришете и УДП и ТЦП да бисте радили на даљину. Изаберите само једно од та два.

Ако више волите да користите УДП, потражите и скините коментар са следећих редова уклањањем водећих фунта (#) симбол који претходи редовима. Ове линије можете пронаћи у одељку модули у конфигурационој датотеци.

модул (лоад="имудп")
унос (типе="имудп" порт="514")

Ако више волите да користите ТЦП, онда декоментирајте следеће редове уклањањем водећих фунта (#) симбол који се налази на почетку редова:

модул (лоад="имтцп")
унос (типе="имтцп" порт="514")

Следећа слика приказује конфигурациону датотеку рсислог конфигурисану да користи УДП комуникацију:

Затим конфигуришите локацију на којој ће рсислог чувати ваше евиденције. За бољу организацију, требало би да категоризујете долазне дневнике према њиховом пореклу. Дефинишите шаблон у вашој рсислог конфигурационој датотеци додавањем следећих редова:

$темплате ремоте-инцоминг-логс, "/вар/лог/ремоте/%ХОСТНАМЕ%".лог
*.* ?ремоте-инцоминг-логс

Горе поменуте линије командују рсислог за чување евиденције у фасцикли /var/log/remote/hostname, где име хоста је име удаљеног клијента који шаље дневник поруке хосту дневника.

Сада сачувајте промене које сте направили. Ако користите Вим, ево како да сачувате и затворите датотеку.

На крају, поново покрените рсислог услуге да би промене које сте унели ступиле на снагу.

судо системцтл рестарт рсислог

Корак 3: Конфигурисање вашег заштитног зида

Ако је ваш заштитни зид омогућен, уверите се да порт који сте претходно конфигурисали може да комуницира са спољним светом. Мораћете да уредите правила заштитног зида да бисте дозволили долазне евиденције.

За дистрибуције засноване на Дебиан-у, једноставно користите алатку УФВ да бисте омогућили или УДП или ТЦП протокол за пренос.

Повезан: Како да конфигуришете заштитни зид у Убунту-у користећи УФВ

Ако користите УДП, покрените следећу команду, где је 514 конфигурисани број порта:

судо уфв 514 / нед

Ако користите ТЦП на порту 514, једноставно покрените:

судо уфв 514/тцп

На Федори, можете користити фиревалл-цмд за постизање сличних резултата.

фиревалл-цмд --зоне=зоне --адд-порт=514/удп

За Ред Хат Линук, отворите иптаблес фајл који се налази на /etc/sysconfig/iptables користећи уређивач текста по избору и додајте следеће правило:

-А ИНПУТ -м стање --стате НОВО -м удп -п удп --дпорт 514 -ј ПРИХВАТИ

Поново покрените услугу иптаблес да би промене ступиле на снагу.

сервис иптаблес рестарт

Корак 4: Конфигурисање клијента за евидентирање

Клијент је машина која шаље своје евиденције на удаљени или централизовани сервер за хост дневника. Отворите конфигурациону датотеку рсислог која се налази на /etc/rsyslog.conf:

судо вим /етц/рсислог.цонф

Додајте следећи ред ако користите УДП, где 192.168.12.123 је ИП адреса удаљеног сервера, своје евиденције ћете писати на:

*.* @192.168.12.123:514

Ако користите ТЦП, додајте следећу линију уместо тога. Имајте на уму да линија има два @ симболи.

*.* @@192.168.12.123:514

Сачувајте промене и поново покрените рсислог услугу на клијенту помоћу команде:

судо системцтл рестарт рсислог

Корак 5: Преглед порука дневника на серверу

Можете користити ССХ да се пријавите на ваш удаљени сервер и прегледате евиденције послате са клијентских сервера. У овом случају, рсислог је конфигурисан тако да чува дневнике клијената у /var/log/remote директоријум удаљеног сервера.

цд /вар/логс/ремоте

Затим наведите садржај директоријума користећи команду лс:

лс -л

Као што можете видети у излазу, директоријум садржи поруке дневника за именоване удаљене сервере андива и рукуру. Њихове датотеке евиденције су именоване андива.лог и рукуру.лог редом.

Затим можете погледати датотеке евиденције помоћу уређивача текста или са Линук алати за преглед датотека као што је мачка или мање.

Даљинско евидентирање вам даје више контроле

Овај водич је разматрао како да подесите удаљени сервер за евидентирање (лог хост) на Линук-у.

Хост дневника вам нуди бољу организацију и контролу када је у питању евидентирање. Чак иу сценаријима у којима је систем оштећен или неприступачан, још увек можете да прегледате његове евиденције са хоста евиденције и схватите шта је пошло наопако.

Почетак рада са системским логовањем у Линук-у

Реад Нект

О аутору