RSYSLOG.Plik CONF Pełny przewodnik dla Linux

Syslog to narzędzie oparte na UNIX, którego Linux używa do zarządzania lokalnymi plikami dziennika. Teraz nowe systemy Linux używają demona o nazwie RSYSLOG, który w rzeczywistości jest ulepszonym narzędziem.

Plik RSysLog może być używany do konfigurowania centralnego serwera rejestrowania, a także do konfigurowania poszczególnych systemów klientów do wysyłania plików dziennika na serwer rejestrowania.

RSYSLOG można zainstalować zarówno w rozkładach Red Hat, jak i Ubuntu. Repozytorium Adiscon Ubuntu zapewnia najnowsze wersje RSYSLOG na Ubuntu. Podobnie repozytorium Adiscon RPM zapewnia najnowsze wersje RSYSLOG dla Red Hat/Centos.

Aby użyć systemu jako serwera rejestrowania, zainstaluj usługę RSysLog w tym systemie. Zainstaluj także usługę RSYSLOG w systemach, które wysyłają dzienniki na ten serwer.

Dzięki demonowi RSYSLOG możemy wysyłać dzienniki na zdalne serwery. Jest stosunkowo prosty, aby skonfigurować RSYSLOG. Pliki dziennika są scentralizowane, co pomaga w archiwizacji i rozwiązywaniu problemów.

Dlaczego pliki dziennika są ważne?

Pliki dziennika są w zasadzie niezbędną częścią konfiguracji serwera. Te pliki są używane w:

1. Rozwiązywanie problemów
2. Audyt systemu
3. Analiza wydajności

Pliki dziennika są kluczowym źródłem gromadzenia krytycznych informacji o systemie i różnych procesach działających na nim. Informacje te są wykorzystywane do kontroli i rozwiązywania problemów.

Co obejmiemy?

W tym samouczku dowiesz się o usłudze RSYSLOG w Linux.

Wybór partycji dla /var /log

/Etc /rsyslog.Conf zawiera listę plików dziennika zarządzanych przez demon RsysLogd. Katalog/var/log/zawiera większość plików dziennika. Aplikacje takie jak samba, httpd i inne przechowują również swoje dzienniki w podkładce wewnątrz /var /log.

To dobra praktyka, aby zamontować katalog /var /log na osobnej partycji. Pomaga to w uniknięciu sytuacji, w której lokalne dzienniki zajmują przestrzeń udostępnioną przez główny system plików. Jest to niezwykle ważny krok w konfigurowaniu serwerów, które odbierają zbyt wiele plików dziennika z wielu zdalnych systemów.

Usługa rejestrowania RSysLog

Aplikacja RSYSLOG pomaga w centralizacji kolekcji dzienników w infrastrukturze. Ta aplikacja działa równolegle z tak zwanym SystemD-Journald. Chociaż usługa RSYSLOG jest nadal używana w systemach Red Hat, jest teraz zastąpiona tym nowym systemem rejestrowania, systemd-Journald.

Systemd-Journald został wprowadzony z systemem w RHEL 7 i jest nadal używany z RHEL 8 i 9. Usługa RSysLog zapewnia wsteczną kompatybilność z nowszymi systemami RHEL.

RSYSLOG.Plik konfiguracyjny CONF

Zajmijmy się teraz prawdziwym RSYSLOG.plik CONF zlokalizowany pod adresem /etc/rsyslog.conf. Ten plik jest wsteczny kompatybilny z syslogiem.plik CONG SYSKLOGD.

Reguły określone w tym pliku regulują sposób, w jaki RSYSLOGD zajmuje się wiadomościami. Ogólnie rzecz biorąc, można podzielić wiadomości na podstawie ich źródła, tematu (obiektu) i pilności (priorytet). Po sklasyfikowaniu można przypisać i wykonać akcję, gdy wiadomość kwalifikuje warunek ustawiony.

Ten plik ma trzy główne specyfikacje: globalne dyrektywy, moduły i zasady. Sekcja zasad zawiera komponenty filtra i akcji.

Przykładowy fragment pliku na RHEL 8:

$ cat /etc /rsyslog.conf
# plik konfiguracyjny RSYSLOG
#### moduły ####
moduł (ładowanie = "iMuxsock" # zapewnia obsługę lokalnego rejestrowania systemu (e.G. za pośrednictwem polecenia Logger)
# Wiadomości lokalne są teraz pobierane przez Imjournal.
moduł (ładowanie = "imjournal" # zapewnia dostęp do czasopisma systemowego
#### globalne dyrektywy ####
# Gdzie umieścić pliki pomocnicze
Global (WorkDirectory = "/var/lib/rsyslog")
# Użyj domyślnego formatu czasu
moduł (load = "Buildin: Omfile" szablon = "rsyslog_traditionalFileFormat")
# Dołącz wszystkie pliki konfiguracyjne w /etc /rsyslog.D/
obejmować (file = "/etc/rsyslog.D/*.conf "tryb =" opcjonalnie ")
#### ZASADY ####
# Zaloguj wszystkie wiadomości jądra do konsoli.

Dyrektywy globalne

Globalne dyrektywy służą do konfiguracji demona RSYSLOGD. Zasadniczo określają wartość dla konkretnej zmiennej wstępnie zdefiniowanej, która wpływa na funkcjonalność RSysLogd lub regułę.

Sekcja modułu

Dodanie rozszerzeń w RSYSLOG jest proste ze względu na jego modułową architekturę. Po otwarciu pliku jest linia:

moduł (ładowanie = "iMuxsock") # zapewnia obsługę lokalnego rejestrowania systemu

Celem tego wiersza jest skierowanie RSysLog do załadowania modułu „IMUXSock” do odbierania wiadomości przez /dev /log.

Następnie jest blok na odbiór Syslog UDP:

#Module (load = "iMudp")
#input (type = "iMudp" port = "514")

Chociaż te linie, które zaczynają się od „#”, są komentarzami i są po prostu ignorowane. Ale mówią, jak skonfigurować serwer RSysLog do odbierania wiadomości w sieci UDP.

Jak zwykle pierwsza linia ładuje moduł o nazwie „IMUDP”. Drugi wiersz określa port UDP 514 jako port, na którym moduł powinien słuchać komunikatów rejestrowania. Kiedy chcesz użyć tej funkcji, po prostu skomentuj wiersze.

Sekcja zasad

Na dole pliku konfiguracyjnego znajduje się blok, który zawiera następujące wiersze:

# Dołącz wszystkie pliki konfiguracyjne w /etc /rsyslog.D/
$ Includeconfig /etc /rsyslog.D/*.conf

Inne pliki można dodać w konfiguracji RSYSLOG, co ułatwia zarządzanie plikami, szczególnie podczas nadzorowania dużej sieci systemów. Ta dyrektywa instruuje RsysLogd, aby załadował wszystkie pliki wewnątrz /etc/rsyslog.D.

Selektory i działania

Aby wysłać gdzieś wiadomość dziennika, musimy zdefiniować regułę, która pasuje do wiadomości. Na przykład rozważ następujący wiersz z /etc/syslog.D/50-default.conf:

*.= debug/var/log/debug

Tutaj pierwsza część, „*.= debugowanie ”, jest selektorem. Następna część, „/Var/log/debug”, jest ścieżką do miejsca, w którym RSYSLOGD umieszcza filtrowane wiadomości.

Filtry części reguły wybiera część wiadomości syslog. Część akcji decyduje, jakie działanie należy wykonać za pomocą tych wiadomości.

RSYSLOG ma różne sposoby filtrowania wiadomości syslog na podstawie wybranych właściwości. Metody filtrowania można zaklasyfikować na podstawie: obiektu/priorytetu, właściwości i wyrażeń.

Część działań, jak wspomniano wcześniej, określa, co zrobić z wcześniej filtrowanymi wiadomościami. Działania mogą przechowywać wiadomości syslog do plików dziennika, przesyłanie wiadomości syslog w sieci itp.

Otrzymanie dokumentacji RSYSLOG

Kompleksową dokumentację aplikacji RSysLog można zobaczyć online pod adresem https: // www.Rsyslog.com/doc/. Jednak lokalny pakiet dokumentacji o nazwie RSYSLOG-DOC można również zainstalować w twoim systemie.

Aby zainstalować ten pakiet w RHEL 8, musisz zainstalować repozytorium AppStream i dostęp do administracyjnego w systemie. Po spełnieniu tych wymagań po prostu uruchom następujące polecenie, aby zainstalować ten pakiet:

$ yum instaluj RSYSLOG-DOC

Aby sprawdzić, czy pakiet jest poprawnie zainstalowany, uruchom następujące polecenie:

$ Firefox/usr/share/doc/rsyslog/html/indeks.html i

Edycja Rsyslog.Conf Plik

Przed edycją tego pliku weź kopię zapasową, abyśmy mogli przywrócić do bezpiecznego punktu, jeśli coś pójdzie nie tak.

Skonfigurujmy ten plik dla UDP. Teraz otwieramy ten plik i pocukamy linie odpowiadające UDP:

# zapewnia odbiór Syslog UDP
moduł (load = "iMudp")
wejście (type = "iMudp" port = "514")

Podobnie, aby skonfigurować ten plik dla odbioru TCP, odkształcić linie odpowiadające TCP:

# Zapewnia odbiór Syslog TCP
moduł (load = "imtcp")
wejście (type = "imtcp" port = "514"

Wniosek

Ten samouczek przedstawia przegląd usługi RSYSLOG w Linux. Możesz także zapoznać się z głównymi stronami do zbadania szczegółowych informacji o tej usłudze.