Linux naplók küldése távoli kiszolgálóra

A távoli naplózás alkalmazásának fő oka ugyanaz, amely miatt ajánlott egy dedikált / var partíció: tér kérdése, de nem csak. A naplók elküldésével egy dedikált tárolóeszközre megakadályozhatja, hogy a naplók teljes helyet foglaljanak el, miközben hatalmas történelmi adatbázist tartanak, hogy hibákat engedjenek meg maguknak.

A naplók feltöltése egy távoli gazdagépre lehetővé teszi számunkra, hogy egynél több eszközre központosítsuk a jelentéseket, és hogy a jelentésekről biztonsági másolatot készítsünk a kutatás érdekében, ha valami nem sikerül megakadályozni a naplók helyi elérését.

Ez az oktatóanyag bemutatja, hogyan állítson be egy távoli kiszolgálót naplófájlok befogadására, és hogyan küldje el ezeket a naplókat ügyféleszközökről, és hogyan osztályozza vagy ossza fel a naplókat a könyvtárakban ügyfélgép szerint.

A virtuális eszköz használatára vonatkozó utasítások betartása érdekében elvettem egy ingyenes szintű VPS-t az Amazon-tól (ha segítségre van szüksége egy Amazon-eszköz beállításához, nagyszerű dedikált tartalom van rajta a LinuxHint webhelyen https: // linuxhint.com / category / aws /). Vegye figyelembe, hogy a kiszolgáló nyilvános IP-je eltér a belső IP-jétől.

Kezdés előtt:

A naplók távoli küldésére használt szoftver az rsyslog, alapértelmezés szerint a Debian és a származtatott Linux disztribúciók esetén érkezik, ha nem futtatja:

# sudo apt install rsyslog

Az rsyslog állapotot mindig futtathatja:

# sudo szolgáltatás rsyslog állapota

Amint láthatja, hogy a képernyőképen az állapot aktív, ha az rsyslog nem aktív, mindig elindíthatja a futtatással:

# sudo szolgáltatás rsyslog indítása

Vagy

# systemctl indítsa el az rsyslogot

Jegyzet: További információ a Debian szolgáltatások kezelésének összes lehetőségéről A szolgáltatások leállítása, indítása és újraindítása a Debianon.

Az rsyslog indítása jelenleg nem releváns, mert néhány változtatás után újra kell indítanunk.

Linux naplók küldése távoli kiszolgálóra: A kiszolgáló oldala

Először is, a szerveren szerkessze a fájlt / etc / resyslog.konf nano vagy vi használatával:

# nano / etc / rsyslog.konf

A fájlban törölje a megjegyzést, vagy adja hozzá a következő sorokat:

modul (load = "imudp")
bemenet (type = "imudp" port = "514")
modul (load = "imtcp")
bemenet (type = "imtcp" port = "514")

Fent a nem kommentált vagy hozzáadott naplófogadásokat az UDP és a TCP használatával, csak az egyiket engedélyezheti, vagy mindkettőt. Ha nem kommentálta vagy hozzáadta, akkor módosítania kell a tűzfalszabályokat a bejövő naplók engedélyezéséhez, a naplók TCP futtatásához

# ufw 514 / tp engedélyezése

A bejövő naplók engedélyezése az UDP protokollon keresztül:

# ufw 514 / udp engedélyezése

A TCP és az UDP engedélyezéséhez futtassa a fenti két parancsot.

Jegyzet: további információkért olvassa el az UFW-t Munka a Debian tűzfalakkal (UFW).

Indítsa újra az rsyslog szolgáltatást a futtatással:

# sudo szolgáltatás rsyslog újraindítása

Most folytassa az ügyféllel a naplók küldésének konfigurálását, majd visszatérünk a kiszolgálóhoz a formátum javítása érdekében.

Linux naplók küldése távoli kiszolgálóra: Az ügyféloldal

A naplófájlokat küldő kliensen adja hozzá a következő sort az IP 18 cseréjével.223.3.241 a szerver IP-jéhez.

*.* @@ 18.223.3.241: 514

Lépjen ki és mentse a módosításokat a CTRL + X billentyűkombinációval.

A szerkesztés után indítsa újra az rsyslog szolgáltatást a futtatással:

# sudo szolgáltatás rsyslog újraindítása

A szerver oldalon:

Most ellenőrizheti a naplókat a / var / log fájlban, amikor megnyitja azokat, vegyes forrásokat észlel a napló számára. A következő példa az Amazon belső felületéről és az Rsyslog kliensről (Montsegur) származó naplókat mutatja:

A nagyítás egyértelművé teszi:

A vegyes fájlok birtoklása nem kényelmes, az alábbiakban az rsyslog konfigurációját szerkesztjük, hogy a naplók a forrás szerint elkülönüljenek.

Ha egy könyvtárban lévő naplókat meg akarja különböztetni az ügyfélgép nevével, vegye fel a következő sorokat a / etc / rsyslog kiszolgálóra.conf arra utasítja az rsyslogot, hogyan kell menteni a távoli naplókat, és ezt az rsyslogon belül kell megtenni.conf adja hozzá a sorokat:

$ template RemoteLogs, "/ var / log /% HOSTNAME% /.napló "
*.* ?RemoteLogs
& ~

Lépjen ki a módosítások mentéséből a CTRL + X megnyomásával, és indítsa újra az rsyslog alkalmazást a szerveren:

# sudo szolgáltatás rsyslog újraindítása

Most új könyvtárakat láthat, az egyiket ip-172-nek hívják.31.47.Ami az AWS belső felülete, és más néven „montsegur”, például az rsyslog kliens.

A könyvtárak között megtalálhatók a naplók:

Következtetés:

A távoli naplózás nagyszerű megoldást kínál arra a problémára, amely a szolgáltatásokat lerombolhatja, ha a kiszolgáló tárolója tele lesz naplókkal, amint azt az elején elmondtuk, bizonyos esetekben elengedhetetlen az is, hogy a rendszer súlyosan megsérülhet a naplókhoz való hozzáférés engedélyezése nélkül , ilyen esetekben egy távoli naplószerver garantálja a sysadmin hozzáférését a szerver előzményekhez.

Ennek a megoldásnak a megvalósítása technikailag meglehetősen egyszerű, és még akkor is ingyenes, ha nincs szükség nagy erőforrásokra, és az ingyenes szerverek, például az AWS ingyenes szintjei jóak erre a feladatra, ha növelné a naplóátviteli sebességet, akkor csak az UDP protokollt engedélyezheti (a megbízhatóság elvesztése ellenére). Van néhány alternatíva az Rsyslog-hoz, például: Flume vagy Sentry, de az rsyslog továbbra is a legnépszerűbb eszköz a Linux-felhasználók és a rendszergazdák között.

Remélem, hasznosnak találta ezt a cikket: Linux naplók küldése távoli kiszolgálóra.