Oggi esamineremo come configurare una gestione centralizzata dei registri per i server Linux, questo aiuterà l'amministratore Linux ad avere più registri di server in un unico posto. L'amministratore Linux non ha bisogno di accedere a ciascun server per controllare i log, può semplicemente accedere al server centralizzato e iniziare a monitorare i log.
Linux etichetta (auth, cron, ftp, lpr, authpriv, news, mail, syslog, etc ,..) i messaggi di log per indicare il tipo di software che ha generato i messaggi con gravità (Alert, critical, Warning, Notice, info, ecc ,..).
Puoi trovare maggiori informazioni sulle etichette dei messaggi e sui livelli di gravità
Assicurati di avere quanto segue per configurare il server di registro.
Due server Linux (server e client).
server.itzgeek.local 192.168.0.105
client.itzgeek.local 192.168.0.104
Configurazione del server:
Installa il pacchetto syslog, se non lo hai installato.
[root@server ~]# yum -y install rsyslog
Modifica /etc/rsyslog.conf
[root@server ~]# vi /etc/rsyslog.conf
Annulla il commento di seguito per consentire al server syslog di essere in ascolto sulla porta TCP e UDP.
Da
# Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514
A
# Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
Riavvia il servizio syslog
[root@server ~]# service rsyslog restart
Verifica che il server syslog sia in ascolto.
[root@server ~]# netstat -antup | grep 514 tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 8081/rsyslogd tcp 0 0 :::514 :::* LISTEN 8081/rsyslogd udp 0 0 0.0.0.0:514 0.0.0.0:* 8081/rsyslogd udp 0 0 :::514 :::* 8081/rsyslogd
Configurazione client:
Modifica /etc/rsyslog.conf
[root@client ~]# vi /etc/rsyslog.conf
Alla fine del file inserire la riga seguente per puntare il registro dei messaggi del client al server
*.info;mail.none;authpriv.none;cron.none @192.168.0.105
Puoi menzionare il nome host o l'indirizzo IP.
Riavvia il servizio syslog
[root@client ~]# service rsyslog restart
Ora tutti i log dei messaggi vengono inviati al server centrale e anche questo conserva la copia in locale.
Apertura porta firewall (opzionale):
Per lo più tutto l'ambiente di produzione è protetto da firewall hardware, chiedi loro di aprire il TCP &UDP 514. Puoi verificare l'apertura della porta emettendo il seguente comando dal client.
[root@client ~]# telnet 192.168.0.105 514 Trying 192.168.0.105... Connected to 192.168.0.105. Escape character is '^]'.
Se non ha dato alcuna risposta, disabilita il firewall sia sul client che sul server.
Test:
Monitora l'attività dal server di registro, apri il registro dei messaggi.
[root@server ~]# tailf /var/log/messages
Ora riavvia il servizio xinetd sul client, ora puoi ricevere il messaggio di riavvio del servizio sul server syslog.
Oct 17 15:06:41 client xinetd[4280]: xinetd Version 2.3.14 started with libwrap loadavg labeled-networking options compiled in. Oct 17 15:06:41 client xinetd[4280]: Started working: 0 available services
In questo modo puoi monitorare gli altri log come secure, mail, cron log ecc.