Oggi esamineremo come impostare la gestione centralizzata dei registri per il server Linux. Ciò aiuterà l'amministratore Linux ad avere più registri del server in un unico posto. L'amministratore Linux non ha bisogno di accedere a ciascun server per controllare i log, può semplicemente accedere al server centralizzato e iniziare a monitorare il log.
Linux etichetta (auth, cron, FTP, LPR, authpriv, news, mail, syslog, ecc,..) i messaggi di log per indicare il tipo di software che ha generato i messaggi con gravità (Alert, critical, Warning, Notice, info, ecc,..).
Puoi trovare maggiori informazioni sulle etichette dei messaggi e sui livelli di gravità
Assicurati di disporre di quanto segue per configurare un server di registro.
Due server Linux (server e client).
server.itzgeek.local 192.168.0.10
client.itzgeek.local 192.168.0.20
Configurazione del server Syslog
Installa il pacchetto Rsyslog, se non lo hai installato.
yum -y install rsyslog
Modifica il /etc/rsyslog.conf file.
vi /etc/rsyslog.conf
TCP o UDP
Rsyslog supporta sia il protocollo UDP che TCP per la ricezione dei registri. Il protocollo TCP fornisce una trasmissione affidabile dei log.
UDP
Decommentare quanto segue per consentire al server syslog di essere in ascolto sul protocollo UDP.
DA:
# Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514
A:
# Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514
TCP
Decommentare quanto segue per consentire al server syslog di essere in ascolto sul protocollo TCP.
DA:
# Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514
A:
# Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
Riavvia il servizio syslog
systemctl restart rsyslog
Verifica che il server syslog sia in ascolto sulla porta 514.
netstat -antup | grep 514
Risultato:
udp 0 0 0.0.0.0:514 0.0.0.0:* 1467/rsyslogd udp6 0 0 :::514 :::* 1467/rsyslogd
Configurazione del client Syslog
Installa il pacchetto Rsyslog, se non lo hai installato.
yum -y install rsyslog
Modifica il /etc/rsyslog.conf file.
vi /etc/rsyslog.conf
Alla fine del file inserire la riga seguente per puntare il registro dei messaggi del client al server.
UDP
*.info;mail.none;authpriv.none;cron.none @192.168.0.10:514
TCP
*.info;mail.none;authpriv.none;cron.none @@192.168.0.10:514
Puoi utilizzare il nome host o l'indirizzo IP.
Riavvia il servizio syslog
systemctl restart rsyslog
Ora tutti i log dei messaggi vengono inviati al server centrale e anche questo conserva la copia in locale.
Firewall
Per lo più tutti gli ambienti di produzione sono protetti da un firewall hardware, chiedi loro di aprire TCP &UDP 514.
Se hai abilitato FirewallD, esegui il seguente comando su un server per accettare il traffico in entrata sulla porta UDP/TCP 514.
TCP
firewall-cmd --permanent --add-port=514/tcp firewall-cmd --reload
UDP
firewall-cmd --permanent --add-port=514/udp firewall-cmd --reload
Convalida
Vai al server syslog e visualizza il file di registro dei messaggi.
tail -f /var/log/messages
Dovresti vedere che i log del client vengono registrati in un server syslog.
Feb 9 04:26:09 client systemd: Stopping System Logging Service... Feb 9 04:26:09 client rsyslogd: [origin software="rsyslogd" swVersion="8.24.0-41.el7_7.2" x-pid="910" x-info="http://www.rsyslog.com"] exiting on signal 15. Feb 9 04:26:09 client systemd: Stopped System Logging Service. Feb 9 04:26:09 client systemd: Starting System Logging Service... Feb 9 04:26:09 client rsyslogd: [origin software="rsyslogd" swVersion="8.24.0-41.el7_7.2" x-pid="1546" x-info="http://www.rsyslog.com"] start Feb 9 04:26:09 client systemd: Started System Logging Service.
In questo modo, puoi monitorare gli altri log come secure, mail, cron log, ecc.
Conclusione
È tutto. Spero che tu abbia configurato correttamente un server syslog centralizzato su CentOS 7 / RHEL 7. Puoi anche provare strumenti di gestione dei registri open source come ELK stack o Graylog per funzionalità più avanzate come l'interfaccia web, la correlazione di eventi di registro, ecc.