Kaip administratoriai, IT palaikymo personalas ar tinklų ir sistemų srities valdytojai, mes turime kažką esminio, padedančio mums sekti kiekvieną įvykį, įvykusį sistemoje, tiek vartotojų, programų ar pačios sistemos lygiu, ir tai yra įvykius.
Kiekvienas įvykis registruoja daugybę elementų, padedančių mums išsamiai nustatyti kiekvieną veiklą su tokiomis vertėmis kaip data, laikas, ID, vartotojas ir įvykis, taip suteikdami mums galimybę daug centralizuotiau valdyti ir administruoti.
Matome, kad kiekvienas įrašas priklauso kitai kategorijai, pavyzdžiui, sistemai, saugumui ir kt.
„Linux“ aplinkoje mes turime „Rsyslog“ įrankį, su kuriuo bus galima paprastai ir išsamiai valdyti šiuos įvykius.
Kas yra Rsyslog„Rsyslog“ (greita raketų sistema žurnalams - greita rąstų apdorojimo sistema) yra priemonė, sukurta siekiant užtikrinti aukštą našumą, puikias saugumo funkcijas ir modulinę konstrukciją, leidžiančią ją keisti, kad atitiktų kiekvienos įmonės poreikius.
„Rsyslog“ gali priimti įvestis iš įvairių šaltinių, juos transformuoti ir generuoti rezultatus įvairioms paskirties vietoms, optimizuodamas IT valdymą.
„RSYSLOG“ gali pristatyti daugiau nei milijoną pranešimų per sekundę vietinėms paskirties vietoms, kai taikomas ribotas apdorojimas, įskaitant nuotolines paskirties vietas.
„Rsyslog“ funkcijosNaudodami „Rsyslog“ turėsime tokias funkcijas kaip:
- $ LocalHostName [vardas] direktyva: ši direktyva leidžia perrašyti sistemos pagrindinio kompiuterio pavadinimą direktyvoje nurodytu. Jei direktyva duodama kelis kartus, visi, išskyrus paskutinį, bus ignoruojami.
- Pridėtas „Hadoop HDFS“ palaikymas.
- Jame yra impstat modulis, skirtas periodinei „Rsyslog“ skaitiklių statistikai vykdyti.
- Jis turi imptcp papildinį.
- Apima naujo tipo „stygų generatoriaus“ modulį, naudojamą pagreitinti išvesties apdorojimą.
- Palaiko OSX ir Solaris.
- Galimybė kurti pasirinktinius pranešimų analizatorius.
- „Imudp“ kelių taisyklių rinkinio palaikymas.
- Nauja sandorių išėjimo modulio sąsaja, užtikrinanti puikų našumą.
- Kelių siūlų
- Palaiko TCP, SSL, TLS, RELP protokolus
- Palaiko „MySQL“, „PostgreSQL“, „Oracle“ ir dar daugiau
- Filtruokite bet kurią sistemos dienoraščio pranešimo dalį
- Visiškai konfigūruojamas išvesties formatas
- Tinka verslo klasės transliavimo tinklams
Rsyslog filtravimas„Rsyslog“ gali filtruoti sistemos dienoraščio pranešimus pagal pasirinktas ypatybes ir veiksmus, šie filtrai yra šie:
- Priemonių ar prioritetų rinkmenos
- Nuosavybe pagrįsti filtrai
- Išraiška pagrįsti filtrai
Įrenginių filtrą vaizduoja vidinis „Linux“ posistemis, kuris yra atsakingas už įrašų kūrimą. Turime šias parinktis:
- auth / authpriv = Tai yra pranešimai, gauti naudojant autentifikavimo procesus
- cron = Tai įrašai, susieti su cron užduotimis
- daemon = Tai pranešimai, susiję su veikiančiomis sistemos paslaugomis
- kernel = Nurodo „Linux“ branduolio pranešimus
- paštas = apima pranešimus iš pašto serverio
- syslog = Tai pranešimai, susiję su syslog ar kitais demonais
- lpr = Apima spausdintuvus arba spausdinimo serverio pranešimus
- local0 - local7 = Skaičiuokite pasirinktinius pranešimus, valdomus administratoriaus
- emerg = avarinė situacija - 0
- įspėjimas = Įspėjimai - 1
- klaida = klaidos - 3
- įspėti = Įspėjimai - 4
- pranešimas = pranešimas - 5
- informacija = informacija - 6
- derinimas = Derinimas - 7
1. Kaip sukonfigūruoti ir patikrinti „Rsyslog“ būseną „Linux“
1 žingsnis
„Rsyslog“ demonas automatiškai įdiegiamas daugelyje „Linux“ platinimų, tačiau jei ne, turime paleisti šias komandas:
„Debian“ sistemose
sudo apt-get install Rsyslog
„RedHat“ ar „CentOS“ sistemose
sudo yum įdiegti „Rsyslog“
2 žingsnis
Mes galime patikrinti dabartinę „Rsyslog“ būseną vykdydami šią eilutę:
„Linux“ paskirstymuose, kuriuose naudojama „Systemd“
systemctl status rsyslog.service
Senesnėse „Linux“ versijose
paslaugos rsyslog statusas /etc/init.d/rsyslog status
DIDELIS
3 žingsnis
Jei „Rsyslog“ paslaugos būsena yra neaktyvi, galime ją pradėti vykdydami šiuos veiksmus:
Naujose „Linux“ versijose
systemctl start rsyslog.service
Senesnėse „Linux“ versijose
paslauga rsyslog start /etc/init.d/rsyslog start
DIDELIS
2. „Rsyslog“ konfigūracija „Linux“
Norėdami sukonfigūruoti „rsyslog“ programą paleisti serverio režimu, turime redaguoti konfigūracijos failą kataloge /etc/rsyslog.conf.
1 žingsnis
Mes galime pasiekti naudodami norimą redaktorių:
sudo nano /etc/rsyslog.conf
DIDELIS
2 žingsnis
Ten atliksime šiuos pakeitimus. Raskite ir nekomentuokite, pašalindami ženklą (#), iš šių eilučių, kad galėtumėte priimti UDP žurnalo pranešimus 514 prievade. Pagal numatytuosius nustatymus „syslog“ naudoja UDP prievadą pranešimams siųsti ir gauti:
$ ModLoad imudp $ UDPServerRun 5143 žingsnis
UDP protokolas nėra patikimas keistis duomenimis tinkle, todėl galime sukonfigūruoti „Rsyslog“, kad jis siunčia žurnalo pranešimus į nuotolinį serverį per TCP protokolą. Norėdami įjungti TCP priėmimo protokolą, pašalinsime šias eilutes:
$ ModLoad imtcp $ InputTCPServerRun 5144 žingsnis
Tai leis rsyslog demonui susieti ir klausytis 514 prievado TCP lizdo.
Abu protokolai gali būti įjungti „rsyslog“, kad jie veiktų vienu metu „Linux“.
Jei reikia nurodyti, kuriems siuntėjams leidžiama prieiga prie „rsyslog“ demono, turime pridėti šias eilutes:
$ AllowedSender TCP, 127.0.0.1, 192.168.0.5/24, * .domain.com
DIDELIS
5 žingsnis
Šiuo metu reikės sukurti naują šabloną, kurį prieš priimant gaunamus žurnalus išanalizuos rsyslog demonas. Šis šablonas turėtų nurodyti vietiniam „Rsyslog“ serveriui, kur saugoti gaunamus žurnalo pranešimus. Šis šablonas bus po $ AllowedSender eilutės:
$ template Incoming-logs, " / var / log /% HOSTNAME% /% PROGRAMNAME% .log" *. *? Gaunami žurnalai & ~
DIDELIS
6 žingsnis
Norėdami įrašyti tik „kern“ sukurtus pranešimus, pridėsime šiuos dalykus. Naudojant aukščiau pateiktą informaciją, gauti įrašai analizuojami pagal šabloną ir bus saugomi vietinėje failų sistemoje / var / log / kataloge, kelyje:% HOSTNAME% ir% PROGRAMNAME%.
kern. *? Gaunami žurnalai7 žingsnis
Pakeitimus galime išsaugoti naudodami šį klavišų derinį:
Ctrl + O
Mes paliekame redaktorių naudodami:
„Ctrl“ + X
3. Iš naujo paleiskite paslaugą ir patikrinkite „Rsyslog“ prievadus „Linux“
1 žingsnis
Kai atliekame bet kokius pakeitimus, turime iš naujo paleisti paslaugą atlikdami vieną iš šių parinkčių:
sudo paslauga rsyslog paleiskite iš naujo sudo systemctl restart Rsyslog2 žingsnis
Norėdami patikrinti „Rsyslog“ naudojamus prievadus, atliksime šiuos veiksmus:
sudo netstat -tulpn | grep rsyslog3 žingsnis
Kaip nurodėme, naudojamas prievadas bus 514, mes turime jį įgalinti užkardoje, kad būtų galima naudoti su šiomis eilutėmis.
„RedHat“ ir „CentOS“
firewall-cmd --permanent --add-port = 514 / tcp firewall-cmd -reload
Debian'e
ufw leisti 514 / tcp ufw leisti 514 / udpJei naudojame IPTable:
iptables -A INPUT -p tcp -m tcp -dport 514 -j ACCEPT iptables -A INPUT -p udp --dport 514 -j ACCEPT
DIDELIS
Tokiu būdu įdiegėme „Rsyslog“ sistemoje „Linux“, kad valdytume įvairius jame nuolat generuojamus žurnalus.
