Ինչպես տեղադրել և կարգավորել Rsyslog սերվերը և հաճախորդը Ubuntu 24.04-ում


Այս ձեռնարկը գոյություն ունի ՕՀ-ի այս տարբերակների համար

  • Ubuntu 24.04 (Noble Numbat)
  • Ubuntu 18.04 (Bionic Beaver)

Այս էջում

  1. Նախադրյալներ
  2. Տեղադրեք Rsyslog
  3. Կարգավորեք Rsyslog սերվերը
  4. Կարգավորել Rsyslog հաճախորդը
  5. Դիտել Հաճախորդների մատյանը
  6. Եզրակացություն

Rsyslog-ը Ubuntu-ում հզոր և ճկուն համակարգի գրանցման դեյմոն է, որն օգտագործվում է օպերացիոն համակարգի և հավելվածների կողմից ստեղծվող տեղեկամատյանների հաղորդագրությունները հավաքելու, զտելու, պահելու և փոխանցելու համար: Դա ավանդական syslog ծառայության ընդլայնված տարբերակն է, որն ապահովում է լրացուցիչ հնարավորություններ, ինչպիսիք են բարձր արդյունավետության գրանցումը, առաջադեմ զտման հնարավորությունները և բազմաթիվ գրանցման արձանագրությունների աջակցությունը, ներառյալ TCP, UDP և RELP (Reliable Event Logging Protocol): Rsyslog-ը կարող է մշակել տեղեկամատյանների հաղորդագրությունները տարբեր աղբյուրներից և ուղղորդել դրանք տարբեր ուղղություններով, ինչպիսիք են ֆայլերը, տվյալների բազաները կամ հեռավոր սերվերները: Այն լայնորեն օգտագործվում է կենտրոնացված անտառահատումների համակարգերում՝ մոնիտորինգի, խնդիրների վերացման և աուդիտի նպատակներով: Թույլ տալով մանրամասն կոնֆիգուրացիա՝ Rsyslog-ը Ubuntu-ի ադմինիստրատորներին հնարավորություն է տալիս արդյունավետորեն կառավարել համակարգի տեղեկամատյանները և ապահովել, որ կարևոր տեղեկությունները հավաքվեն և ապահով պահվեն:

Տեղեկամատյանները շատ օգտակար են Linux համակարգի և հավելվածների հետ կապված խնդիրները վերլուծելու և վերացնելու համար: Լռելյայնորեն, բոլոր log ֆայլերը գտնվում են Linux-ի վրա հիմնված օպերացիոն համակարգերի/var/log գրացուցակի ներսում: Գոյություն ունեն տեղեկամատյանների մի քանի տեսակներ, ներառյալ cron, միջուկը, օգտվողները և անվտանգությունը, և այդ ֆայլերի մեծ մասը վերահսկվում է Rsyslog ծառայության կողմից:

Այս ձեռնարկում ես կբացատրեմ, թե ինչպես կարգավորել Rsyslog սերվերը Ubuntu 24.04 սերվերի վրա:

Նախադրյալներ

  • Երկու սերվեր, որն աշխատում է Ubuntu 24.04-ով:
  • 192.168.0.101 ստատիկ IP հասցեն կազմաձևված է Rsyslog սերվերի մեքենայի վրա, իսկ 192.168.0.102-ը կազմաձևված է Rsyslog հաճախորդի մեքենայի վրա:
  • Երկու սերվերի վրա էլ կազմաձևված է արմատային գաղտնաբառը:

Տեղադրեք Rsyslog

Դուք կարող եք տեղադրել Rsyslog՝ գործարկելով հետևյալ հրամանը.

apt install rsyslog -y

Rsyslog-ը տեղադրելուց հետո կարող եք ստուգել Rsyslog-ի տարբերակը հետևյալ հրամանով.

rsyslogd -v

Կարող եք նաև ստուգել Rsyslog-ի կարգավիճակը հետևյալ հրամանով.

systemctl status rsyslog

Դուք պետք է տեսնեք հետևյալ արդյունքը.

? rsyslog.service - System Logging Service
   Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
   Active: active (running) since Tue 2024-08-22 04:28:55 UTC; 1min 31s ago
     Docs: man:rsyslogd(8)
           http://www.rsyslog.com/doc/
 Main PID: 724 (rsyslogd)
    Tasks: 4 (limit: 1114)
   CGroup: /system.slice/rsyslog.service
           ??724 /usr/sbin/rsyslogd -n

Aug 22 04:28:53 ubuntu2404 systemd[1]: Starting System Logging Service...
Aug 22 04:28:54 ubuntu2404 rsyslogd[724]: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (fd 3) from systemd.  [v8.32.0]
Aug 22 04:28:54 ubuntu2404 rsyslogd[724]: rsyslogd's groupid changed to 106
Aug 22 04:28:54 ubuntu2404 rsyslogd[724]: rsyslogd's userid changed to 102
Aug 22 04:28:54 ubuntu2404 rsyslogd[724]:  [origin software="rsyslogd" swVersion="8.32.0" x-pid="724" x-info="http://www.rsyslog.com"] start
Aug 22 04:28:55 ubuntu2404 systemd[1]: Started System Logging Service.

Կարգավորեք Rsyslog սերվերը

Rsyslog-ն այժմ տեղադրված է և աշխատում է: Հաջորդը, դուք պետք է կարգավորեք այն, որպեսզի այն աշխատի սերվերի ռեժիմում: Դուք կարող եք խմբագրել ֆայլը /etc/rsyslog.conf:

nano /etc/rsyslog.conf

Նախ, դուք պետք է սահմանեք արձանագրությունը կամ UDP կամ TCP կամ երկուսն էլ:

Միևնույն ժամանակ UDP և TCP կապերն օգտագործելու համար որոնեք և չմեկնաբանեք ստորև նշված տողերը.

$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514

Հաջորդը, սահմանեք հատուկ ենթացանցը, IP-ն կամ տիրույթը՝ մուտքը սահմանափակելու համար, ինչպես ցույց է տրված ստորև.

$AllowedSender TCP, 127.0.0.1, 192.168.0.0/24, *.example.com
$AllowedSender UDP, 127.0.0.1, 192.168.0.0/24, *.example.com

Հաջորդը, դուք պետք է ստեղծեք ձևանմուշ, որպեսզի Rsyslog սերվերին ասեք, թե ինչպես պահել մուտքային syslog հաղորդագրությունները: Ավելացրեք հետևյալ տողերը ԳԼՈԲԱԼ ԴԻՐԵԿՏԻՎՆԵՐ բաժնից անմիջապես առաջ.

$template remote-incoming-logs, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
*.* ?remote-incoming-logs

Պահպանեք և փակեք ֆայլը, երբ ավարտեք: Այնուհետև ստուգեք Rsyslog-ի կազմաձևումը շարահյուսական որևէ սխալի համար հետևյալ հրամանով.

rsyslogd -f /etc/rsyslog.conf -N1

Դուք պետք է տեսնեք հետևյալ արդյունքը.

rsyslogd: version 8.32.0, config validation run (level 1), master config /etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.

Վերջապես, վերագործարկեք Rsyslog ծառայությունը հետևյալ հրամանով.

systemctl restart rsyslog

Այժմ ստուգեք, որ Rsyslog-ը լսում է TCP/UDP-ով հետևյալ հրամանով.

netstat -4altunp | grep 514

Դուք պետք է ստանաք հետևյալ արդյունքը.

tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      1332/rsyslogd       
udp        0      0 0.0.0.0:514             0.0.0.0:*                           1332/rsyslogd       

Կարգավորել Rsyslog հաճախորդը

Rsyslog սերվերը տեղադրված է և կազմաձևված է հեռավոր հոսթերից տեղեկամատյաններ ստանալու համար:

Այժմ դուք պետք է կարգավորեք Rsyslog հաճախորդը, որպեսզի syslog հաղորդագրություններ ուղարկի հեռավոր Rsyslog սերվերին:

Մուտք գործեք Client մեքենա և բացեք Rsyslog կազմաձևման ֆայլը, ինչպես ցույց է տրված ստորև.

nano /etc/rsyslog.conf

Ֆայլի վերջում ավելացրեք հետևյալ տողերը.

##Enable sending of logs over UDP add the following line:

*.* @192.168.0.101:514


##Enable sending of logs over TCP add the following line:

*.* @@192.168.0.101:514

##Set disk queue when rsyslog server will be down:

$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1

Պահպանեք և փակեք ֆայլը: Այնուհետև վերագործարկեք Rsyslog սերվերը՝ կազմաձևման փոփոխությունները կիրառելու համար.

systemtcl restart rsyslog

Դիտել Հաճախորդների մատյանը

Այս պահին Rsyslog հաճախորդը կազմաձևված է այնպես, որ ուղարկի իր գրանցամատյանը Rsyslog սերվերին:

Մուտք գործեք Rsyslog սերվեր և ստուգեք /var/log գրացուցակը: Դուք պետք է տեսնեք մուտքը ձեր հաճախորդի մեքենաների հոսթի անունով, ներառյալ մի քանի մատյան ֆայլեր.

ls /var/log/rsyslog-client/

Արդյունք:

CRON.log  kernel.log  rsyslogd-2039.log  rsyslogd.log  sudo.log  wpa_supplicant.log

Եզրակացություն

Վերոնշյալ հոդվածում մենք սովորեցինք, թե ինչպես տեղադրել և կարգավորել Rsyslog սերվերը Ubuntu 24.04 սերվերի վրա և ինչպես կարգավորել Rsyslog հաճախորդը Rsyslog սերվերին տեղեկամատյաններ ուղարկելու համար: Ազատորեն հարցրեք ինձ, եթե ունեք հարցեր: