GNU/Linux >> Linux Esercitazione >  >> Cent OS

Come configurare il server SysLog centralizzato su CentOS 8 / RHEL 8

Oggi configureremo un server syslog centralizzato su CentOS 8 / RHEL 8 per consentire all'amministratore Linux di leggere più registri del server in un unico posto.

Linux etichetta (auth, cron, FTP, LPR, authpriv, news, mail, syslog, ecc.) i messaggi di log per indicare il tipo di software che ha generato i messaggi con gravità (Alert, critical, Warning, Notice, info, ecc. ..).

Puoi trovare maggiori informazioni sulle etichette dei messaggi e sui livelli di gravità

Ambiente

Due server Linux (server e client).

server.itzgeek.local 192.168.0.10

client.itzgeek.local 192.168.0.20

Configurazione del server

Installa il pacchetto rsyslog sul server syslog nel caso in cui il pacchetto non esista già.

dnf install -y rsyslog

Modifica il file /etc/rsyslog.conf.

vi /etc/rsyslog.conf

Protocollo

Rsyslog supporta sia il protocollo UDP che TCP per la ricezione dei registri. Sta a te decidere quale protocollo vuoi utilizzare.

Rsyslog suggerisce l'uso del protocollo TCP per la consegna affidabile dei registri.

UDP

Decommenta quanto segue per consentire al server syslog di essere in ascolto sulla porta UDP.

DA: 

# Provides UDP syslog reception
# for parameters see http://www.rsyslog.com/doc/imudp.html
# module(load="imudp") # needs to be done just once
# input(type="imudp" port="514")

A: 

# Provides UDP syslog reception
# for parameters see http://www.rsyslog.com/doc/imudp.html
module(load="imudp") # needs to be done just once
input(type="imudp" port="514")

TCP

Decommentare quanto segue per consentire al server syslog di essere in ascolto sulla porta TCP.

DA: 

# Provides TCP syslog reception
# for parameters see http://www.rsyslog.com/doc/imtcp.html
#module(load="imtcp") # needs to be done just once
#input(type="imtcp" port="514")

A: 

# Provides TCP syslog reception
# for parameters see http://www.rsyslog.com/doc/imtcp.html
module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514")

Riavvia il servizio syslog

systemctl restart rsyslog

Verifica che il server syslog sia in ascolto sulla porta 514.

netstat -antup | grep 514

Risultato: 

udp        0      0 0.0.0.0:514             0.0.0.0:*                           30918/rsyslogd      
udp6       0      0 :::514                  :::*                                30918/rsyslogd

Configurazione client

Installa il pacchetto rsyslog sul client nel caso in cui il pacchetto non esista già.

dnf install -y rsyslog

Modifica il file /etc/rsyslog.conf.

vi /etc/rsyslog.conf

Alla fine del file, inserisci la riga seguente per inoltrare i messaggi di registro del client al server syslog centralizzato.

UDP: 

action(type="omfwd" Target="192.168.0.10" Port="514" Protocol="udp")

TCP: 

action(type="omfwd" Target="192.168.0.10" Port="514" Protocol="tcp")
Puoi anche utilizzare il nome host in Target.

Riavvia il servizio syslog

systemctl restart rsyslog

Ora tutti i log dei messaggi vengono inviati al server centrale e anche questo conserva la copia in locale.

Firewall

Se il sistema dispone di FirewallD, eseguire il comando seguente sul server syslog per accettare il traffico in entrata sulla porta 514.

UDP: 

firewall-cmd --permanent --add-port=514/udp

 firewall-cmd --reload

TCP: 

firewall-cmd --permanent --add-port=514/tcp

firewall-cmd --reload

Convalida

Vai al server syslog e visualizza il file di registro dei messaggi.

tail -f /var/log/messages

Ho installato e avviato vsftpd sulla macchina client, puoi vedere che entrambi sono registrati in un server syslog.

Jan 31 03:21:07 client systemd[1]: Stopping System Logging Service...
Jan 31 03:21:08 client rsyslogd[30944]: [origin software="rsyslogd" swVersion="8.37.0-13.el8" x-pid="30944" x-info="http://www.rsyslog.com"] exiting on signal 15.
Jan 31 03:21:08 client systemd[1]: Stopped System Logging Service.
Jan 31 03:21:08 client systemd[1]: Starting System Logging Service...
Jan 31 03:21:08 client rsyslogd[30952]: environment variable TZ is not set, auto correcting this to TZ=/etc/localtime  [v8.37.0-13.el8 try http://www.rsyslog.com/e/2442 ]
Jan 31 03:21:08 client systemd[1]: Started System Logging Service.
Jan 31 03:21:08 client rsyslogd[30952]: [origin software="rsyslogd" swVersion="8.37.0-13.el8" x-pid="30952" x-info="http://www.rsyslog.com"] start

Conclusione

È tutto. Spero che tu abbia configurato correttamente un server syslog centralizzato su CentOS 8 / RHEL 8. Puoi anche utilizzare strumenti di gestione dei registri open source come ELK stack o Graylog per funzionalità più avanzate come l'interfaccia Web, la correlazione di eventi di registro, ecc.


Cent OS

  1. Configura il server SysLog su CentOS 6 / RHEL 6

  2. Come configurare il server SysLog su CentOS 7 / RHEL 7

  3. Come configurare il server NFS su CentOS 7 / RHEL 7

  4. Come configurare un server proxy squid su CentOS/RHEL 7

  5. Come configurare il server VNC per i nuovi utenti in CentOS/RHEL 5

Come installare il server Redis su CentOS 8 / RHEL 8

Come configurare il server NFS su CentOS 8 / RHEL 8

Come configurare Jenkins su CentOS 8 / RHEL 8

Come configurare un server SVN su CentOS

Come configurare il server di backup centralizzato con Amanda su CentOS 7

Come configurare Icinga Web 2 su CentOS 8 / RHEL 8