A naplók feltöltése egy távoli gazdagépre lehetővé teszi számunkra, hogy egynél több eszközre központosítsuk a jelentéseket, és hogy a jelentésekről biztonsági másolatot készítsünk a kutatás érdekében, ha valami nem sikerül megakadályozni a naplók helyi elérését.
Ez az oktatóanyag bemutatja, hogyan állítson be egy távoli kiszolgálót naplófájlok befogadására, és hogyan küldje el ezeket a naplókat ügyféleszközökről, és hogyan osztályozza vagy ossza fel a naplókat a könyvtárakban ügyfélgép szerint.
A virtuális eszköz használatára vonatkozó utasítások betartása érdekében elvettem egy ingyenes szintű VPS-t az Amazon-tól (ha segítségre van szüksége egy Amazon-eszköz beállításához, nagyszerű dedikált tartalom van rajta a LinuxHint webhelyen https: // linuxhint.com / category / aws /). Vegye figyelembe, hogy a kiszolgáló nyilvános IP-je eltér a belső IP-jétől.
Kezdés előtt:
A naplók távoli küldésére használt szoftver az rsyslog, alapértelmezés szerint a Debian és a származtatott Linux disztribúciók esetén érkezik, ha nem futtatja:
# sudo apt install rsyslogAz rsyslog állapotot mindig futtathatja:
# sudo szolgáltatás rsyslog állapota
Amint láthatja, hogy a képernyőképen az állapot aktív, ha az rsyslog nem aktív, mindig elindíthatja a futtatással:
# sudo szolgáltatás rsyslog indításaVagy
# systemctl indítsa el az rsyslogot
Jegyzet: További információ a Debian szolgáltatások kezelésének összes lehetőségéről A szolgáltatások leállítása, indítása és újraindítása a Debianon.
Az rsyslog indítása jelenleg nem releváns, mert néhány változtatás után újra kell indítanunk.
Linux naplók küldése távoli kiszolgálóra: A kiszolgáló oldala
Először is, a szerveren szerkessze a fájlt / etc / resyslog.konf nano vagy vi használatával:
# nano / etc / rsyslog.konf
A fájlban törölje a megjegyzést, vagy adja hozzá a következő sorokat:
modul (load = "imudp")bemenet (type = "imudp" port = "514")
modul (load = "imtcp")
bemenet (type = "imtcp" port = "514")
Fent a nem kommentált vagy hozzáadott naplófogadásokat az UDP és a TCP használatával, csak az egyiket engedélyezheti, vagy mindkettőt. Ha nem kommentálta vagy hozzáadta, akkor módosítania kell a tűzfalszabályokat a bejövő naplók engedélyezéséhez, a naplók TCP futtatásához
# ufw 514 / tp engedélyezése
A bejövő naplók engedélyezése az UDP protokollon keresztül:
# ufw 514 / udp engedélyezése
A TCP és az UDP engedélyezéséhez futtassa a fenti két parancsot.
Jegyzet: további információkért olvassa el az UFW-t Munka a Debian tűzfalakkal (UFW).
Indítsa újra az rsyslog szolgáltatást a futtatással:
# sudo szolgáltatás rsyslog újraindítása
Most folytassa az ügyféllel a naplók küldésének konfigurálását, majd visszatérünk a kiszolgálóhoz a formátum javítása érdekében.
Linux naplók küldése távoli kiszolgálóra: Az ügyféloldal
A naplófájlokat küldő kliensen adja hozzá a következő sort az IP 18 cseréjével.223.3.241 a szerver IP-jéhez.
*.* @@ 18.223.3.241: 514
Lépjen ki és mentse a módosításokat a CTRL + X billentyűkombinációval.
A szerkesztés után indítsa újra az rsyslog szolgáltatást a futtatással:
# sudo szolgáltatás rsyslog újraindítása
A szerver oldalon:
Most ellenőrizheti a naplókat a / var / log fájlban, amikor megnyitja azokat, vegyes forrásokat észlel a napló számára. A következő példa az Amazon belső felületéről és az Rsyslog kliensről (Montsegur) származó naplókat mutatja:
A nagyítás egyértelművé teszi:
A vegyes fájlok birtoklása nem kényelmes, az alábbiakban az rsyslog konfigurációját szerkesztjük, hogy a naplók a forrás szerint elkülönüljenek.
Ha egy könyvtárban lévő naplókat meg akarja különböztetni az ügyfélgép nevével, vegye fel a következő sorokat a / etc / rsyslog kiszolgálóra.conf arra utasítja az rsyslogot, hogyan kell menteni a távoli naplókat, és ezt az rsyslogon belül kell megtenni.conf adja hozzá a sorokat:
$ template RemoteLogs, "/ var / log /% HOSTNAME% /.napló "*.* ?RemoteLogs
& ~
Lépjen ki a módosítások mentéséből a CTRL + X megnyomásával, és indítsa újra az rsyslog alkalmazást a szerveren:
# sudo szolgáltatás rsyslog újraindítása
Most új könyvtárakat láthat, az egyiket ip-172-nek hívják.31.47.Ami az AWS belső felülete, és más néven „montsegur”, például az rsyslog kliens.
A könyvtárak között megtalálhatók a naplók:
Következtetés:
A távoli naplózás nagyszerű megoldást kínál arra a problémára, amely a szolgáltatásokat lerombolhatja, ha a kiszolgáló tárolója tele lesz naplókkal, amint azt az elején elmondtuk, bizonyos esetekben elengedhetetlen az is, hogy a rendszer súlyosan megsérülhet a naplókhoz való hozzáférés engedélyezése nélkül , ilyen esetekben egy távoli naplószerver garantálja a sysadmin hozzáférését a szerver előzményekhez.
Ennek a megoldásnak a megvalósítása technikailag meglehetősen egyszerű, és még akkor is ingyenes, ha nincs szükség nagy erőforrásokra, és az ingyenes szerverek, például az AWS ingyenes szintjei jóak erre a feladatra, ha növelné a naplóátviteli sebességet, akkor csak az UDP protokollt engedélyezheti (a megbízhatóság elvesztése ellenére). Van néhány alternatíva az Rsyslog-hoz, például: Flume vagy Sentry, de az rsyslog továbbra is a legnépszerűbb eszköz a Linux-felhasználók és a rendszergazdák között.
Remélem, hasznosnak találta ezt a cikket: Linux naplók küldése távoli kiszolgálóra.