Samouczek syslog

„Syslog to sposób na konsolidację dzienników z różnych systemów do zdalnego serwera syslog. Serwer Syslog ma trzy kluczowe komponenty. Pierwszy to słuchacz, który wykorzystuje UDP nad portem 514 do zebrania danych syslog. Dalej jest baza danych, która przechowuje wygenerowane dane syslog, a na koniec oprogramowanie do zarządzania i filtrowania umożliwiające filtrowanie danych syslog w celu szybkiego rozwiązywania problemów.

Jako administrator systemu, zrozumienie, jak działa Syslog i jak skonfigurować maszyny klienckie, aby skierować swoje dane syslog na zdalnym serwerze. W tym przewodniku omówiono Syslog w Linux i oferuje kroki dotyczące konsolidacji dzienników do zdalnej maszyny."

Zrozumienie syslog

Syslog to protokół, który komunikuje się przy użyciu portu 514 za pośrednictwem UDP i umożliwia hostom przesyłanie dzienników do serwerów Syslog na sieci IP. Praca serwera syslog jest monitorowanie i reagowanie na otrzymane powiadomienia Syslog.

Dzięki temu administrator może mieć centralną kontrolę dzienników od różnych klientów, dzięki czemu może szybko prześledzić błąd w komputerze klienta i, na podstawie wygenerowanego komunikatu dziennika, rozwiąż go.

Klienci syslog generują wiadomości syslog, które wysyłają na serwer Syslog. Wiadomość ma trzy kluczowe części.

1. Priorytet - Reprezentuje nasilenie i obiekt wiadomości. Wartość priorytetu dyktuje priorytet danego dziennika. Korzystając z niego, możesz filtrować dzienniki na podstawie wartości priorytetowej.
2. nagłówek - Reprezentuje znacznik czasu dla dziennika i nazwę komputera hosta/klienta wysyłającego komunikat dziennika.
3. Wiadomość - Reprezentuje faktyczną komunikat dziennika, który administrator wyświetli podczas rozwiązywania problemu. Wiadomość zawiera szczegóły, takie jak adresy IP hosta, nasilenie i komunikat zdarzenia.

Miejmy przykład wiadomości syslog i zidentyfikuj jego różne części.

<34> 2 2022-10-3T10: 30: 35.004z Linuxhint SU - ID12 - BOM'SU Root 'nie powiodło się dla Linuxhint on/Dev/Pts/4

W powyższym zaczniemy od lewej. 34 reprezentuje wartość priorytetu dla wiadomości. 2 to numer wersji komunikatu dziennika. Obok niego jest Znacznik czasu ISO, a następnie Nazwa hosta. Następnie mamy konkretny aplikacja To wywołało błąd i jego Pid. Wreszcie, mamy identyfikator wiadomości wydarzenia i komunikat dziennika.

Praca z Syslog

Każdy system generuje dzienniki dla zdarzeń, które powodują błąd, takie jak losowe zamknięcie aplikacji. Dzienniki dla maszyny lokalnej są przechowywane w /var/log, i możesz wymienić zawartość, aby zobaczyć różne

pliki dziennika i katalogi dla twojego systemu za pomocą polecenie ls.

Zwrócisz uwagę na powyższy obraz, że mamy wywoływany plik dziennika Syslog. Zawiera dzienniki dla twojego systemu; W tym przypadku dotyczy systemów Ubuntu/Debian. Dla Czerwony kapelusz, możesz znaleźć wiadomości zamiast syslog.

Aby wyświetlić dzienniki systemu, otwórz plik dziennika w czasie rzeczywistym za pomocą polecenie ogona. Dla Debian/Ubuntu użyj poniższego polecenia.

$ sudo ogon -f/var/log/syslog

W przypadku maszyn klientów zasady wysyłania syslog są zawarte w Rsyslog plik konfiguracyjny. Musisz edytować ten plik konfiguracyjny, aby ustawić urządzenie do przesyłania jego plików dziennika na dany serwer Syslog.

Praca z plik konfiguracyjnym RSYSLOG

Możesz wyświetlić ten plik konfiguracyjny za pomocą wybranego edytora. Otwórzmy to za pomocą Nano redaktor.

$ sudo nano /etc /rsyslog.conf

Poniżej wygląda plik konfiguracyjny.

Wszelkie zasady zdefiniowane dla twojego syslog zostaną zawarte w tym pliku, w tym serwer Syslog i jego adres IP. Utwórzmy serwer Syslog na zdalnym komputerze i przesyłać dzienniki z naszego komputera klienta.

Konfigurowanie serwera Syslog

W tym przykładzie używamy Ubuntu 22.04 jako nasz serwer.

Najpierw upewnij się, że masz Rsyslog Zainstalowane przez sprawdzanie jej wersji. Jeśli nie zostanie zainstalowany, zainstaluj go za pomocą apt.

$ rsyslogd -v

Następną rzeczą jest otwarcie pliku konfiguracyjnego RSYSLOG za pomocą edytora Nano.

$ sudo nano /etc /rsyslog.conf

Znajdź moduł i wejście do TCP. Następnie odrzuć je, usuwając # i dodanie poniższego wiersza, aby Twój plik konfiguracyjny wyglądał jak ten na poniższym obrazku.

$ szablon nazwa pliku, ”/var/log/%nazwa hosta%/syslog.dziennik"
*.* ?NAZWA PLIKU

Po edytowaniu pliku konfiguracyjnego uruchom ponownie Rsyslog

$ sudo systemctl restart rsyslog.praca

Ostatnim krokiem jest sprawdzenie, czy RSYSLOG jest aktywny, a słuchanie w porcie UDP 514. Użyj poniższego polecenia, aby zweryfikować.

$ sudo netstat -pnlt

Konfigurowanie klienta

Otwórz komputer klienta i sprawdź, czy ma to Rsyslog Sprawdzając wersję.

Następnie otwórz plik konfiguracyjny RSYSLOG.

$ sudo nano /etc /rsyslog.conf

Po otwarciu dodaj adres IP swojego serwera za pomocą poniższego formatu.

*.* @@: 514

Uruchom ponownie i włącz RSYSLOG

$ sudo systemctl restart rsyslog
$ sudo systemctl włącz rsyslog

Przetestujmy syslog, rejestrując losową wiadomość, która powinna odzwierciedlać na serwerze Syslog Client.

Otwórz zdalnego klienta i wyświetl syslog dla klienta w czasie rzeczywistym. Z poniższego obrazu możemy zobaczyć zarejestrowaną wiadomość od klienta potwierdzającą, że nasz zdalny serwer Syslog działa.

Zakończyć

Ten przewodnik przedstawił praktyczny samouczek na temat rozpoczęcia syslog. Widzieliśmy, jak odczytać komunikat syslog i skonfigurować architekturę klient-serwer dla Syslog. Otóż ​​to.