Înregistrarea este un aspect critic al gestionării serverului Linux. Mesajele de jurnal sunt utile pentru analiza cauzei principale și pentru evitarea potențialelor erori în viitor. Analiza și depanarea erorilor de server este o abilitate de bază pe care o au atât inginerii IT, cât și administratorii de sistem.

Acest ghid vă va arăta cum să configurați un server de înregistrare la distanță, cunoscut și ca gazdă de jurnal, pe Linux. O gazdă de jurnal vă permite să agregați jurnalele Linux locale la un server centralizat la distanță pentru ușurință de acces și analiză.

De ce să aveți un server de jurnal dedicat?

Sistemul de operare Linux înregistrează majoritatea activităților de pe serverul dumneavoastră pentru auditare și depanare folosind demonul syslog (protocol de înregistrare a sistemului). Deci s-ar putea să vă întrebați, de ce am nevoie de un server dedicat pentru jurnalele mele? Iată câteva avantaje ale unui server de înregistrare dedicat:

  • Securitate mai bună, deoarece serverul de înregistrare la distanță are doar câteva porturi deschise spre exterior.
  • instagram viewer
  • Performanță îmbunătățită a serverului, deoarece gazda de înregistrare la distanță nu rulează multe servicii, cu excepția celor utilizate pentru înregistrare.
  • Ușurează arhivarea și gestionarea mesajelor de jurnal.

Mesajele de jurnal sunt importante pentru auditarea serverelor și a liniilor de bază și sunt o parte esențială a procedurilor de întreținere preventivă a infrastructurii serverului.

Pasul 1: Instalarea rsyslog pe Linux

Acest ghid se concentrează pe Ubuntu 20.04, dar procesul ar trebui să fie aproape același dacă utilizați alte distribuții Linux mainstream.

rsyslog este un serviciu de înregistrare de la distanță pentru Linux și vine preinstalat implicit pe majoritatea distribuțiilor Linux moderne, de exemplu, Ubuntu și alte sisteme bazate pe Debian.

Serviciul rsyslog este un daemon modern și îmbunătățit pentru syslog, care vă permite doar să gestionați jurnalele la nivel local. Cu demonul rsyslog, puteți trimite jurnalele locale către un server Linux la distanță configurat.

Dacă nu aveți rsyslog instalat pe computer, puteți face acest lucru cu ușurință folosind următoarea comandă, pe distribuțiile bazate pe Debian:

sudo apt install rsyslog

Pe Red Hat Linux, îl puteți instala tastând:

yum instalează rsyslog

Pe Fedora și derivatele sale, rulați:

dnf instalează rsyslog

Pentru a instala rsyslog pe Arch Linux:

da -S rsyslog

Pentru a verifica starea rsyslog, rulați următoarea comandă:

starea systemctl rsyslog

Ieșire:

Pasul 2: Configurarea serverului gazdă de jurnal

Gazda de jurnal este serverul configurat să primească mesaje de jurnal de la alte servere sau computere. Configurația rsyslog rezidă în /etc/rsyslog.conf fişier.

Puteți deschide /etc/rsyslog.conf fișier folosind orice editor de text la alegere. În acest ghid, vom folosi Vim.

Veți avea nevoie de privilegii ridicate pentru a face modificări în fișierul de configurare.

Înainte de a începe editarea fișierului de configurare, ar trebui să faceți o copie de rezervă sau o copie a fișierului. Pentru a face acest lucru, rulați comanda:

sudo cp /etc/rsyslog.conf /etc/rsyslog_original.config

Apoi, deschideți /etc/rsyslog.conf fișier folosind un editor de text.

sudo vim /etc/rsyslog.conf 

Există două protocoale pe care le puteți utiliza pentru trimiterea/primirea fișierelor jurnal cu rsyslog: TCP și UDP. Acest ghid vă arată cum să configurați ambele.

Nu trebuie să configurați atât UDP, cât și TCP pentru ca înregistrarea de la distanță să funcționeze. Alege doar una dintre cele două.

Dacă preferați să utilizați UDP, căutați și decomentați următoarele rânduri eliminând începutul Livră (#) simbol care precede liniile. Puteți găsi aceste linii în secțiunea module din fișierul de configurare.

modul (load="imudp")
intrare (type="imudp" port="514")

Dacă preferați să utilizați TCP, atunci decomentați următoarele rânduri eliminând începutul Livră (#) simbol situat la începutul liniilor:

modul (încărcare="imtcp")
intrare (type="imtcp" port="514")

Următoarea figură arată fișierul de configurare rsyslog configurat pentru a utiliza comunicația UDP:

Apoi, configurați locația în care rsyslog vă va stoca jurnalele. Pentru o mai bună organizare, ar trebui să clasificați jurnalele primite după originea lor. Definiți un șablon în fișierul de configurare rsyslog adăugând următoarele linii:

$template remote-incoming-logs, „/var/log/remote/%HOSTNAME%”.log
*.* ?jurnalele-incoming-remote

Liniile menționate mai sus comandă rsyslog pentru a stoca jurnalele în folder /var/log/remote/hostname, Unde nume de gazdă este numele clientului de la distanță care trimite mesaje de jurnal către gazda de jurnal.

Acum, salvați modificările pe care le-ați făcut. Dacă utilizați Vim, iată cum să salvați și să părăsiți un fișier.

În cele din urmă, reporniți serviciile rsyslog pentru ca modificările pe care le-ați făcut să intre în vigoare.

sudo systemctl reporniți rsyslog

Pasul 3: Configurarea firewall-ului

Dacă firewall-ul dvs. este activat, asigurați-vă că portul pe care l-ați configurat mai sus poate comunica cu lumea exterioară. Va trebui să editați regulile firewall-ului pentru a permite jurnalele de intrare.

Pentru distribuțiile bazate pe Debian, pur și simplu utilizați instrumentul UFW, pentru a activa fie protocolul de transfer UDP, fie TCP.

Legate de: Cum se configurează firewall-ul în Ubuntu utilizând UFW

Dacă utilizați UDP, rulați următoarea comandă, unde 514 este numărul portului configurat:

sudo ufw 514/udp

Dacă utilizați TCP pe portul 514, pur și simplu rulați:

sudo ufw 514/tcp

Pe Fedora, puteți utiliza firewall-cmd pentru a obține rezultate similare.

firewall-cmd --zone=zone --add-port=514/udp

Pentru Red Hat Linux, deschideți iptables fişier aflat la /etc/sysconfig/iptables folosind editorul de text ales și adăugați următoarea regulă:

-A INPUT -m stare --state NOU -m udp -p udp --dport 514 -j ACCEPT

Reporniți serviciul iptables pentru ca modificările să intre în vigoare.

reporniți serviciul iptables

Pasul 4: Configurarea clientului de înregistrare

Clientul este mașina care își trimite jurnalele către un server gazdă de jurnal la distanță sau centralizat. Deschideți fișierul de configurare rsyslog situat la /etc/rsyslog.conf:

sudo vim /etc/rsyslog.conf

Adăugați următoarea linie dacă utilizați UDP, unde 192.168.12.123 este adresa IP a serverului de la distanță, vă veți scrie jurnalele pe:

*.* @192.168.12.123:514

Dacă utilizați TCP, adăugați în schimb următoarea linie. Rețineți că linia are două @ simboluri.

*.* @@192.168.12.123:514

Salvați modificările și reporniți serviciul rsyslog pe client cu comanda:

sudo systemctl reporniți rsyslog

Pasul 5: Vizualizarea mesajelor jurnal pe server

Puteți utiliza SSH pentru a vă conecta la serverul dvs. de la distanță și pentru a vedea jurnalele trimise de la serverele client. În acest caz, rsyslog este configurat astfel încât să stocheze jurnalele clientului în /var/log/remote directorul serverului la distanță.

cd /var/logs/remote

Apoi enumerați conținutul directorului folosind comanda ls:

ls -l

După cum puteți vedea în rezultat, directorul conține mesaje de jurnal pentru serverele de la distanță numite andiwa și rukuru. Fișierele lor jurnal sunt denumite andiwa.log și rukuru.log respectiv.

Puteți apoi să vă uitați la fișierele jurnal folosind un editor de text sau cu Instrumente de vizualizare a fișierelor Linux cum ar fi pisica sau mai puțin.

Înregistrarea de la distanță vă oferă mai mult control

Acest ghid a analizat cum să configurați un server de înregistrare la distanță (gazdă de jurnal) pe Linux.

O gazdă de jurnal vă oferă o organizare și un control mai bun atunci când vine vorba de înregistrare. Chiar și în scenariile în care un sistem este deteriorat sau inaccesibil, puteți vedea în continuare jurnalele din gazda de jurnal și puteți afla ce a mers prost.

Noțiuni introductive cu înregistrarea sistemului în Linux

Citiți în continuare

AcțiuneTweetAcțiuneE-mail

Subiecte asemănătoare

  • Linux
  • Administrare sistem
  • Comenzi Linux

Despre autor

Mwiza Kumwenda (52 articole publicate)

Mwiza dezvoltă software de profesie și scrie mult pe Linux și programare front-end. Unele dintre interesele sale includ istoria, economia, politica și arhitectura întreprinderilor.

Mai multe de la Mwiza Kumwenda

Aboneaza-te la newsletter-ul nostru

Alăturați-vă buletinului nostru informativ pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!

Click aici pentru a te abona