Kā administratoriem, IT atbalsta personālam vai tīklu un sistēmu jomas vadītājiem mums ir kaut kas būtisks, lai palīdzētu mums izsekot katram notikumam, kas notiek sistēmā, gan lietotāju, lietojumprogrammu, gan pašas sistēmas līmenī, un tie ir notikumiem.
Katrs notikums reģistrē virkni elementu, kas palīdz mums detalizēti noteikt katru darbību ar tādām vērtībām kā datums, laiks, ID, lietotājs un notikušais notikums, tādējādi ļaujot mums daudz centralizētāk pārvaldīt un administrēt.
Mēs redzam, ka katrs ieraksts pieder citai kategorijai, piemēram, sistēmai, drošībai utt.
Linux vidē mūsu rīcībā ir utilīta Rsyslog, ar kuras palīdzību šos notikumus būs iespējams pārvaldīt vienkāršā un pilnīgā veidā.
Kas ir RsyslogRsyslog (ātra raķešu sistēma žurnālam - ātra žurnālu apstrādes sistēma) ir utilīta, kas paredzēta, lai piedāvātu augstu veiktspēju, lieliskus drošības līdzekļus un modulāru dizainu, kas ļauj to mērogot atbilstoši katra uzņēmuma vajadzībām.
Rsyslog spēj pieņemt datus no dažādiem avotiem, pārveidot tos un ģenerēt rezultātus dažādiem galamērķiem, optimizējot IT pārvaldību.
RSYSLOG spēj piegādāt vairāk nekā vienu miljonu ziņojumu sekundē uz vietējiem galamērķiem, ja tiek piemērota ierobežota apstrāde, ieskaitot attālos galamērķus.
Rsyslog funkcijasIzmantojot Rsyslog, mums būs tādas funkcijas kā:
- $ LocalHostName [name] direktīva: šī direktīva ļauj mums pārrakstīt sistēmas resursdatora nosaukumu ar direktīvā norādīto. Ja direktīva tiek sniegta vairākas reizes, visi, izņemot pēdējo, tiks ignorēti.
- Pievienots Hadoop HDFS atbalsts.
- Tam ir impstat modulis, lai periodiski veiktu statistiku par Rsyslog skaitītājiem.
- Tam ir spraudnis imptcp.
- Ietver jauna veida "virkņu ģeneratora" moduli, ko izmanto, lai paātrinātu izvades apstrādi.
- Atbalsta OSX un Solaris.
- Spēja izveidot pielāgotu ziņojumu parsētāju.
- Vairāku noteikumu kopums imudp atbalstam.
- Jauna darījumu izejas moduļa saskarne, kas nodrošina izcilu veiktspēju.
- Vairāku pavedienu vītne
- Atbalsta TCP, SSL, TLS, RELP protokolus
- Atbalsta MySQL, PostgreSQL, Oracle un citus
- Filtrējiet jebkuru dienasgrāmatas ziņojuma daļu
- Pilnībā konfigurējams izvades formāts
- Piemērots biznesa klases apraides tīkliem
Rsyslog filtrēšanaRsyslog var filtrēt sistēmas žurnāla ziņojumus, pamatojoties uz atlasītajiem rekvizītiem un darbībām. Šie filtri ir:
- Objektu vai prioritāro failu iesniedzēji
- Uz īpašumiem balstīti filtri
- Uz izteiksmēm balstīti filtri
Iekārtas filtru attēlo iekšējā Linux apakšsistēma, kas ir atbildīga par ierakstu sagatavošanu, mums ir šādas iespējas:
- auth / authpriv = Tie ir ziņojumi, ko rada autentifikācijas procesi
- cron = Tie ir ieraksti, kas saistīti ar cron uzdevumiem
- daemon = Tie ir ziņojumi, kas saistīti ar sistēmas pakalpojumiem
- kernel = Norāda Linux kodola ziņojumus
- pasts = ietver ziņojumus no pasta servera
- syslog = Tie ir ziņojumi, kas saistīti ar syslog vai citiem dēmoniem
- lpr = aptver printerus vai drukas servera ziņojumus
- local0 - local7 = Skaitīt pielāgotus ziņojumus administratora kontrolē
- emerg = ārkārtas situācija - 0
- brīdinājums = Brīdinājumi - 1
- kļūda = kļūdas - 3
- brīdināt = Brīdinājumi - 4
- paziņojums = Paziņojums - 5
- informācija = informācija - 6
- atkļūdošana = atkļūdošana - 7
1. Kā konfigurēt un pārbaudīt Rsyslog statusu Linux
1. darbība
Rsyslog dēmons tiek automātiski instalēts lielākajā daļā Linux izplatījumu, bet, ja nē, mums ir jāizpilda šādas komandas:
Debian sistēmās
sudo apt-get install Rsyslog
RedHat vai CentOS sistēmās
sudo yum instalējiet Rsyslog
2. solis
Mēs varam pārbaudīt pašreizējo Rsyslog statusu, izpildot šādu rindu:
Linux izplatījumos, kas izmanto Systemd
systemctl statuss rsyslog.service
Vecākās Linux versijās
pakalpojuma rsyslog statuss /etc/init.d/rsyslog status
PALIELINĀT
3. solis
Ja pakalpojuma Rsyslog statuss ir neaktīvs, mēs varam to sākt, izpildot šādas darbības:
Jaunajās Linux versijās
systemctl start rsyslog.service
Vecākās Linux versijās
pakalpojums rsyslog start /etc/init.d/rsyslog start
PALIELINĀT
2. Rsyslog konfigurācija Linux
Lai konfigurētu rsyslog programmu, lai tā darbotos servera režīmā, mums ir jārediģē konfigurācijas fails direktorijā /etc/rsyslog.conf.
1. darbība
Mēs varam piekļūt, izmantojot vēlamo redaktoru:
sudo nano /etc/rsyslog.conf
PALIELINĀT
2. solis
Tur mēs veiksim šādas izmaiņas. Atrodiet un noņemiet komentārus, noņemot zīmi (#) no šīm rindām, lai ļautu saņemt UDP žurnāla ziņojumus 514. portā. Pēc noklusējuma syslog izmanto UDP portu ziņojumu sūtīšanai un saņemšanai:
$ ModLoad imudp $ UDPServerRun 5143. solis
UDP protokols nav uzticams datu apmaiņai tīklā, tāpēc mēs varam konfigurēt Rsyslog tā, lai caur TCP protokolu nosūtītu žurnāla ziņojumus uz attālo serveri. Lai iespējotu TCP uztveršanas protokolu, mēs noņemsim šādas rindas:
$ ModLoad imtcp $ InputTCPServerRun 5144. solis
Tas ļaus rsyslog dēmonam saistīties un klausīties TCP ligzdā 514. portā.
Abus protokolus var iespējot rsyslog, lai tie vienlaikus darbotos Linux.
Ja nepieciešams norādīt, kuriem sūtītājiem ir atļauta piekļuve rsyslog dēmonam, mums jāpievieno šādas rindas:
$ AllowedSender TCP, 127.0.0.1, 192.168.0.5/24, * .domain.com
PALIELINĀT
5. solis
Šajā brīdī būs jāizveido jauna veidne, kuru pirms ienākošo žurnālu saņemšanas analizēs rsyslog dēmons. Šai veidnei vajadzētu norādīt vietējam Rsyslog serverim, kur glabāt ienākošos žurnāla ziņojumus. Šī veidne tiks aiz rindas $ AllowedSender:
$ template Incoming-logs, " / var / log /% HOSTNAME% /% PROGRAMNAME% .log" *. *? Ienākošie žurnāli & ~
PALIELINĀT
6. darbība
Lai ierakstītu tikai kern ģenerētos ziņojumus, mēs pievienosim sekojošo. Izmantojot iepriekš minēto, saņemtie ieraksti tiek analizēti pēc veidnes un tiks saglabāti lokālajā failu sistēmā / var / log / direktorijā, ceļā:% HOSTNAME% un% PROGRAMNAME%.
kern. *? Ienākošie žurnāli7. solis
Mēs varam saglabāt izmaiņas, izmantojot šādu taustiņu kombināciju:
Ctrl + O
Mēs atstājam redaktoru, izmantojot:
Ctrl + X
3. Restartējiet pakalpojumu un pārbaudiet Rsyslog portus operētājsistēmā Linux
1. darbība
Veicot jebkāda veida izmaiņas, mums ir jārestartē pakalpojums, izpildot vienu no šīm iespējām:
sudo pakalpojums rsyslog restart sudo systemctl restart Rsyslog2. solis
Lai pārbaudītu Rsyslog izmantotos portus, mēs veiksim sekojošo:
sudo netstat -tulpn | grep rsyslog3. solis
Kā mēs norādījām, izmantotais ports būs 514, mums tas jāiespējo ugunsmūrī, lai to izmantotu ar šādām rindām.
Vietnēs RedHat un CentOS
firewall-cmd --permanent --add-port = 514 / tcp firewall-cmd -reload
Debianā
ufw atļaut 514 / tcp ufw atļaut 514 / udpJa mēs izmantojam IPTable:
iptables -A INPUT -p tcp -m tcp --port 514 -j ACCEPT iptables -A INPUT -p udp --dport 514 -j ACCEPT
PALIELINĀT
Tādā veidā mēs esam instalējuši Rsyslog operētājsistēmā Linux, lai pārvaldītu dažāda veida žurnālus, kas tajā tiek pastāvīgi ģenerēti.
