Kaip siųsti „Linux“ žurnalus į nuotolinį serverį

Pagrindinė nuotolinio registravimo taikymo priežastis yra ta pati priežastis, dėl kurios rekomenduojamas dedikuotas / var skaidinys: kosmoso reikalas, bet ne tik. Siųsdami žurnalus į tam skirtą saugojimo įrenginį, galite užkirsti kelią savo žurnalams užimti visą vietą, išlaikydami didžiulę istorinę duomenų bazę, kad galėtumėte įsigyti klaidų.

Įkėlę žurnalus į nuotolinį pagrindinį kompiuterį, galime centralizuoti kelių įrenginių ataskaitas ir išsaugoti ataskaitų atsarginę kopiją, kad galėtume atlikti tyrimus, jei kažkas nepavyktų, kad negalėtume pasiekti žurnalų vietoje.

Šioje pamokoje parodyta, kaip nustatyti nuotolinį serverį, kuriame yra prieglobos žurnalai, ir kaip siųsti šiuos žurnalus iš kliento įrenginių, ir kaip klasifikuoti arba padalinti žurnalus žurnaluose pagal kliento pagrindinį kompiuterį.

Norėdami vykdyti instrukcijas, galite naudoti virtualų įrenginį, aš paėmiau nemokamą „VPS“ paketą iš „Amazon“ (jei jums reikia pagalbos nustatant „Amazon“ įrenginį, „LinuxHint“ turi puikų turinį https: // linuxhint.com / category / aws /). Atkreipkite dėmesį, kad viešasis serverio IP skiriasi nuo jo vidinio IP.

Prieš pradedant:

Programinė įranga, naudojama siųsti žurnalus nuotoliniu būdu, yra „rsyslog“, ji pagal numatytuosius nustatymus pateikiama „Debian“ ir išvestiniuose „Linux“ paskirstymuose, jei neturite jo paleisti:

# sudo apt įdiekite rsyslog

Visada galite patikrinti rsyslog būseną vykdydami:

# sudo paslaugos rsyslog būsena

Kaip matote ekrano būsenos aktyvumą, jei jūsų rsyslogas nėra aktyvus, visada galite jį paleisti paleisdami:

# sudo paslaugos rsyslog pradžia

Arba

# systemctl paleisti rsyslog

Pastaba: Norėdami gauti papildomos informacijos apie visas „Debian“ paslaugų valdymo parinktis, patikrinkite Sustabdykite, paleiskite ir iš naujo paleiskite „Debian“ paslaugas.

„Rsyslog“ paleidimas šiuo metu nėra aktualus, nes atlikę keletą pakeitimų turėsime jį paleisti iš naujo.

Kaip siųsti „Linux“ žurnalus į nuotolinį serverį: serverio pusė

Pirmiausia serveryje redaguokite failą / etc / resyslog.konf naudojant nano arba vi:

# nano / etc / rsyslog.konf

Faile panaikinkite komentarus arba pridėkite šias eilutes:

modulis (apkrova = "imudp")
įvestis (type = "imudp" port = "514")
modulis (apkrova = "imtcp")
įvestis (type = "imtcp" port = "514")

Virš mūsų nekomentuotų ar pridėtų žurnalų priėmimų per UDP ir TCP, galite leisti tik vieną iš jų arba abu, kai nekomentuosite ar pridėsite, turėsite redaguoti užkardos taisykles, kad leistumėte įeinančius žurnalus, kad žurnalai būtų priimami per TCP:

# ufw leisti 514 / tcp

Norėdami leisti gaunamus žurnalus paleisti per UDP protokolą:

# ufw leisti 514 / udp

Jei norite leisti tiek TCP, tiek UDP, vykdykite dvi aukščiau pateiktas komandas.

Pastaba: Norėdami gauti daugiau informacijos apie UFW, galite perskaityti Darbas su „Debian“ užkardomis (UFW).

Paleiskite „rsyslog“ paslaugą paleisdami:

# sudo paslaugos rsyslog paleiskite iš naujo

Dabar tęskite klientą, kad sukonfigūruotumėte žurnalų siuntimą, tada grįšime į serverį ir patobulinsime formatą.

Kaip siųsti „Linux“ žurnalus į nuotolinį serverį: kliento pusė

Kliento siuntimo žurnaluose pridėkite šią eilutę, pakeisdami IP 18.223.3.241 jūsų serverio IP.

*.* @@ 18.223.3.241: 514

Išeikite ir išsaugokite pakeitimus paspausdami CTRL + X.

Redagavę iš naujo paleiskite „rsyslog“ tarnybą, vykdydami:

# sudo paslaugos rsyslog paleiskite iš naujo

Serverio pusėje:

Dabar galite patikrinti žurnalus / var / log viduje, juos atidarę pastebėsite mišrius savo žurnalo šaltinius, šiame pavyzdyje rodomi žurnalai iš „Amazon“ vidinės sąsajos ir iš „Rsyslog“ kliento („Montsegur“):

Mastelis rodo, kad tai aišku:

Mišrių failų turėjimas nėra patogus. Toliau redaguosime rsyslog konfigūraciją, kad žurnalai būtų atskirti pagal šaltinį.

Norėdami atskirti žurnalus kataloge su kliento pavadinimu, pridėkite šias eilutes prie serverio / etc / rsyslog.conf nurodyti rsyslog, kaip išsaugoti nuotolinius žurnalus, tai padaryti rsyslog.conf pridėkite eilutes:

$ template RemoteLogs, "/ var / log /% HOSTNAME% /.žurnalas "
*.* ?„RemoteLogs“
& ~

Išeikite iš pakeitimų išsaugojimo paspausdami CTRL + X ir iš naujo paleiskite „rsyslog“ serveryje:

# sudo paslaugos rsyslog paleiskite iš naujo

Dabar galite pamatyti naujus katalogus, vieną vadinamą ip-172.31.47.212, kuri yra AWS vidinė sąsaja ir kita vadinama „montsegur“, pavyzdžiui, „rsyslog“ klientas.

Kataloguose galite rasti žurnalus:

Išvada:

Nuotolinis registravimas yra puikus problemos sprendimas, kuris gali sugadinti paslaugas, jei serverio saugykla bus pilna žurnalų, kaip sakyta pradžioje, taip pat kai kuriais atvejais tai yra būtina, kai sistema gali būti rimtai pažeista neleidžiant prieigos prie žurnalų , tokiais atvejais nuotolinis žurnalo serveris garantuoja „sysadmin“ prieigą prie serverio istorijos.

Įdiegti šį sprendimą yra techniškai gana lengva ir netgi nemokama, nes nereikia didelių išteklių, o nemokami serveriai, tokie kaip AWS nemokami pakopos, yra tinkami šiai užduočiai atlikti. Jei padidintumėte žurnalo perdavimo greitį, galite leisti tik UDP protokolą (nepaisant to, kad prarandate patikimumą). Yra keletas „Rsyslog“ alternatyvų, tokių kaip: „Flume“ arba „Sentry“, tačiau „rsyslog“ išlieka populiariausiu įrankiu tarp „Linux“ vartotojų ir „sysadmin“.

Tikiuosi, kad jums buvo naudingas šis straipsnis „Kaip siųsti„ Linux “žurnalus į nuotolinį serverį“.