Kā iestatīt attālo reģistrēšanu operētājsistēmā Linux, izmantojot rsyslog

Reģistrēšana ir kritisks Linux servera pārvaldības aspekts. Žurnāla ziņojumi ir noderīgi, lai analizētu galveno cēloni un izvairītos no iespējamām kļūdām nākotnē. Servera kļūdu analīze un atkļūdošana ir galvenā prasme gan IT inženieriem, gan sistēmu administratoriem.

Šajā rokasgrāmatā tiks parādīts, kā operētājsistēmā Linux iestatīt attālo reģistrēšanas serveri, kas pazīstams arī kā žurnāla resursdators. Žurnāla resursdators ļauj apkopot vietējos Linux žurnālus attālā centralizētā serverī, lai atvieglotu piekļuvi un analīzi.

Kāpēc izveidot īpašu žurnālu serveri?

Linux operētājsistēma reģistrē lielāko daļu darbību jūsu serverī, lai veiktu auditēšanu un atkļūdošanu, izmantojot syslog (sistēmas reģistrēšanas protokola) dēmonu. Tāpēc jums varētu rasties jautājums, kāpēc man ir nepieciešams īpašs serveris saviem žurnāliem? Šeit ir dažas īpaša reģistrēšanas servera priekšrocības:

• Labāka drošība, jo attālajā reģistrēšanas serverim ir tikai daži porti, kas atvērti uz ārpusi.
• Uzlabota servera veiktspēja, jo attālās reģistrēšanas resursdators nedarbina daudzus pakalpojumus, izņemot tos, kas tiek izmantoti reģistrēšanai.
  instagram viewer
• Atvieglo žurnāla ziņojumu arhivēšanu un pārvaldību.

Žurnāla ziņojumi ir svarīgi, lai pārbaudītu jūsu serverus un bāzes līniju, un tie ir servera infrastruktūras profilaktiskās apkopes procedūru galvenā sastāvdaļa.

1. darbība: rsyslog instalēšana operētājsistēmā Linux

Šajā rokasgrāmatā galvenā uzmanība ir pievērsta Ubuntu 20.04, taču procesam vajadzētu būt gandrīz tādam pašam, ja izmantojat citus galvenos Linux izplatījumus.

rsyslog ir attālās reģistrēšanas pakalpojums operētājsistēmai Linux, un tas pēc noklusējuma ir sākotnēji instalēts lielākajā daļā mūsdienu Linux distribūciju, piemēram, Ubuntu un citās Debian sistēmās.

Pakalpojums rsyslog ir moderns un uzlabots syslog dēmons, kas ļauj pārvaldīt žurnālus tikai lokāli. Izmantojot rsyslog dēmonu, varat nosūtīt vietējos žurnālus uz kādu konfigurētu attālo Linux serveri.

Ja jūsu datorā nav instalēts rsyslog, varat to viegli izdarīt, izmantojot šo komandu Debian distribūcijās:

sudo apt instalēt rsyslog

Red Hat Linux varat to instalēt, ierakstot:

yum instalējiet rsyslog

Programmā Fedora un tās atvasinājumi palaidiet:

dnf instalējiet rsyslog

Lai instalētu rsyslog programmā Arch Linux:

jā -S rsyslog

Lai pārbaudītu rsyslog statusu, palaidiet šo komandu:

systemctl statuss rsyslog

Izvade:

2. darbība: žurnāla resursdatora servera konfigurēšana

Žurnāla resursdators ir serveris, kas konfigurēts žurnāla ziņojumu saņemšanai no citiem serveriem vai personālajiem datoriem. Rsyslog konfigurācija atrodas /etc/rsyslog.conf failu.

Jūs varat atvērt /etc/rsyslog.conf failu izmantojot jebkurš teksta redaktors pēc jūsu izvēles. Šajā rokasgrāmatā mēs izmantosim Vim.

Lai veiktu izmaiņas konfigurācijas failā, jums būs nepieciešamas paaugstinātas privilēģijas.

Pirms sākat rediģēt konfigurācijas failu, jums ir jāizveido faila dublējums vai kopija. Lai to izdarītu, palaidiet komandu:

sudo cp /etc/rsyslog.conf /etc/rsyslog_original.config

Pēc tam atveriet /etc/rsyslog.conf failu, izmantojot teksta redaktoru.

sudo vim /etc/rsyslog.conf 

Ir divi protokoli, kurus varat izmantot žurnāla failu nosūtīšanai/saņemšanai ar rsyslog: TCP un UDP. Šajā rokasgrāmatā ir parādīts, kā konfigurēt abus.

Jums nav jākonfigurē gan UDP, gan TCP, lai darbotos attālā reģistrēšana. Izvēlieties tikai vienu no diviem.

Ja vēlaties izmantot UDP, meklējiet tālāk norādītās rindiņas un noņemiet tās no komentāriem, noņemot sākumu Mārciņa (#) simbols pirms rindām. Šīs rindas varat atrast konfigurācijas faila sadaļā Moduļi.

modulis (load = "imudp")
ievade (type = "imudp" ports = "514")

Ja vēlaties izmantot TCP, atņemiet komentārus no tālāk norādītajām rindiņām, noņemot sākumu Mārciņa (#) simbols, kas atrodas rindu sākumā:

modulis (load = "imtcp")
ievade (type = "imtcp" ports = "514")

Nākamajā attēlā parādīts rsyslog konfigurācijas fails, kas konfigurēts UDP komunikācijas lietošanai:

Pēc tam konfigurējiet vietu, kur rsyslog glabās jūsu žurnālus. Lai nodrošinātu labāku organizāciju, ienākošie žurnāli ir jāklasificē pēc to izcelsmes. Definējiet veidni savā rsyslog konfigurācijas failā, pievienojot šādas rindiņas:

$template remote-incoming-logs, "/var/log/remote/%HOSTNAME%".log
*.* ?attālināti ienākošie žurnāli

Iepriekš minētās rindas komandē rsyslog, lai žurnālus saglabātu mapē /var/log/remote/hostname, kur resursdatora nosaukums ir attālā klienta nosaukums, kas sūta žurnāla ziņojumus žurnāla resursdatoram.

Tagad saglabājiet veiktās izmaiņas. Ja lietojat Vim, šeit ir norādīts, kā saglabāt un aizvērt failu.

Visbeidzot, restartējiet rsyslog pakalpojumus, lai veiktās izmaiņas stātos spēkā.

sudo systemctl restartējiet rsyslog

3. darbība: ugunsmūra konfigurēšana

Ja jūsu ugunsmūris ir iespējots, pārliecinieties, vai iepriekš konfigurētais ports spēj sazināties ar ārpasauli. Lai atļautu ienākošos žurnālus, jums būs jārediģē ugunsmūra noteikumi.

Uz Debian balstītiem izplatījumiem vienkārši izmantojiet UFW rīku, lai iespējotu UDP vai TCP pārsūtīšanas protokolu.

Saistīts: Kā konfigurēt Ubuntu ugunsmūri, izmantojot UFW

Ja izmantojat UDP, palaidiet šo komandu, kur 514 ir konfigurētais porta numurs:

sudo ufw 514/udp

Ja izmantojat TCP portā 514, vienkārši palaidiet:

sudo ufw 514/tcp

Vietnē Fedora varat izmantot ugunsmūris-cmd lai sasniegtu līdzīgus rezultātus.

firewall-cmd --zone=zone --add-port=514/udp

Red Hat Linux gadījumā atveriet iptables fails, kas atrodas /etc/sysconfig/iptables izmantojot izvēlēto teksta redaktoru, un pievienojiet šādu noteikumu:

-IEVADE -m stāvoklis -stāvoklis JAUNS -m udp -p udp -dport 514 -j ACCEPT

Restartējiet iptables pakalpojumu, lai izmaiņas stātos spēkā.

pakalpojuma iptables restartēšana

4. darbība: reģistrēšanas klienta konfigurēšana

Klients ir iekārta, kas nosūta savus žurnālus uz attālo vai centralizēto žurnālu resursdatora serveri. Atveriet rsyslog konfigurācijas failu, kas atrodas vietnē /etc/rsyslog.conf:

sudo vim /etc/rsyslog.conf

Pievienojiet šādu rindu, ja izmantojat UDP, kur 192.168.12.123 ir attālā servera IP adrese, jūs ierakstīsit savus žurnālus uz:

*.* @192.168.12.123:514

Ja izmantojat TCP, tā vietā pievienojiet šādu rindiņu. Ņemiet vērā, ka līnijai ir divas @ simboliem.

*.* @@192.168.12.123:514

Saglabājiet izmaiņas un restartējiet rsyslog pakalpojumu klientam ar komandu:

sudo systemctl restartējiet rsyslog

5. darbība: žurnāla ziņojumu skatīšana serverī

Varat izmantot SSH, lai pieteiktos savā attālajā serverī un skatītu žurnālus, kas nosūtīti no klientu serveriem. Šajā gadījumā rsyslog ir konfigurēts tā, lai tas saglabātu klienta žurnālus /var/log/remote attālā servera direktorijā.

cd /var/logs/remote

Pēc tam norādiet direktorija saturu, izmantojot ls komanda:

ls -l

Kā redzat izvadē, direktorijā ir žurnāla ziņojumi nosauktajiem attālajiem serveriem andiwa un rukuru. Viņu žurnālfaili ir nosaukti andiwa.log un rukuru.log attiecīgi.

Pēc tam varat apskatīt žurnālfailus, izmantojot teksta redaktoru vai ar Linux failu skatīšanas rīki piemēram, kaķis vai mazāk.

Attālā reģistrēšana sniedz jums lielāku kontroli

Šajā rokasgrāmatā ir apskatīts, kā iestatīt attālo reģistrēšanas serveri (žurnāla saimniekdatoru) operētājsistēmā Linux.

Žurnāla resursdators piedāvā labāku organizēšanu un kontroli, kad runa ir par reģistrēšanu. Pat gadījumos, kad sistēma ir bojāta vai nepieejama, joprojām varat skatīt tās žurnālus no žurnāla saimniekdatora un noskaidrot, kas nogāja greizi.

Darba sākšana ar sistēmas reģistrēšanu operētājsistēmā Linux

Lasiet Tālāk

Par autoru