Įkėlę žurnalus į nuotolinį pagrindinį kompiuterį, galime centralizuoti kelių įrenginių ataskaitas ir išsaugoti ataskaitų atsarginę kopiją, kad galėtume atlikti tyrimus, jei kažkas nepavyktų, kad negalėtume pasiekti žurnalų vietoje.
Šioje pamokoje parodyta, kaip nustatyti nuotolinį serverį, kuriame yra prieglobos žurnalai, ir kaip siųsti šiuos žurnalus iš kliento įrenginių, ir kaip klasifikuoti arba padalinti žurnalus žurnaluose pagal kliento pagrindinį kompiuterį.
Norėdami vykdyti instrukcijas, galite naudoti virtualų įrenginį, aš paėmiau nemokamą „VPS“ paketą iš „Amazon“ (jei jums reikia pagalbos nustatant „Amazon“ įrenginį, „LinuxHint“ turi puikų turinį https: // linuxhint.com / category / aws /). Atkreipkite dėmesį, kad viešasis serverio IP skiriasi nuo jo vidinio IP.
Prieš pradedant:
Programinė įranga, naudojama siųsti žurnalus nuotoliniu būdu, yra „rsyslog“, ji pagal numatytuosius nustatymus pateikiama „Debian“ ir išvestiniuose „Linux“ paskirstymuose, jei neturite jo paleisti:
# sudo apt įdiekite rsyslogVisada galite patikrinti rsyslog būseną vykdydami:
# sudo paslaugos rsyslog būsena
Kaip matote ekrano būsenos aktyvumą, jei jūsų rsyslogas nėra aktyvus, visada galite jį paleisti paleisdami:
# sudo paslaugos rsyslog pradžiaArba
# systemctl paleisti rsyslog
Pastaba: Norėdami gauti papildomos informacijos apie visas „Debian“ paslaugų valdymo parinktis, patikrinkite Sustabdykite, paleiskite ir iš naujo paleiskite „Debian“ paslaugas.
„Rsyslog“ paleidimas šiuo metu nėra aktualus, nes atlikę keletą pakeitimų turėsime jį paleisti iš naujo.
Kaip siųsti „Linux“ žurnalus į nuotolinį serverį: serverio pusė
Pirmiausia serveryje redaguokite failą / etc / resyslog.konf naudojant nano arba vi:
# nano / etc / rsyslog.konf
Faile panaikinkite komentarus arba pridėkite šias eilutes:
modulis (apkrova = "imudp")įvestis (type = "imudp" port = "514")
modulis (apkrova = "imtcp")
įvestis (type = "imtcp" port = "514")
Virš mūsų nekomentuotų ar pridėtų žurnalų priėmimų per UDP ir TCP, galite leisti tik vieną iš jų arba abu, kai nekomentuosite ar pridėsite, turėsite redaguoti užkardos taisykles, kad leistumėte įeinančius žurnalus, kad žurnalai būtų priimami per TCP:
# ufw leisti 514 / tcp
Norėdami leisti gaunamus žurnalus paleisti per UDP protokolą:
# ufw leisti 514 / udp
Jei norite leisti tiek TCP, tiek UDP, vykdykite dvi aukščiau pateiktas komandas.
Pastaba: Norėdami gauti daugiau informacijos apie UFW, galite perskaityti Darbas su „Debian“ užkardomis (UFW).
Paleiskite „rsyslog“ paslaugą paleisdami:
# sudo paslaugos rsyslog paleiskite iš naujo
Dabar tęskite klientą, kad sukonfigūruotumėte žurnalų siuntimą, tada grįšime į serverį ir patobulinsime formatą.
Kaip siųsti „Linux“ žurnalus į nuotolinį serverį: kliento pusė
Kliento siuntimo žurnaluose pridėkite šią eilutę, pakeisdami IP 18.223.3.241 jūsų serverio IP.
*.* @@ 18.223.3.241: 514
Išeikite ir išsaugokite pakeitimus paspausdami CTRL + X.
Redagavę iš naujo paleiskite „rsyslog“ tarnybą, vykdydami:
# sudo paslaugos rsyslog paleiskite iš naujo
Serverio pusėje:
Dabar galite patikrinti žurnalus / var / log viduje, juos atidarę pastebėsite mišrius savo žurnalo šaltinius, šiame pavyzdyje rodomi žurnalai iš „Amazon“ vidinės sąsajos ir iš „Rsyslog“ kliento („Montsegur“):
Mastelis rodo, kad tai aišku:
Mišrių failų turėjimas nėra patogus. Toliau redaguosime rsyslog konfigūraciją, kad žurnalai būtų atskirti pagal šaltinį.
Norėdami atskirti žurnalus kataloge su kliento pavadinimu, pridėkite šias eilutes prie serverio / etc / rsyslog.conf nurodyti rsyslog, kaip išsaugoti nuotolinius žurnalus, tai padaryti rsyslog.conf pridėkite eilutes:
$ template RemoteLogs, "/ var / log /% HOSTNAME% /.žurnalas "*.* ?„RemoteLogs“
& ~
Išeikite iš pakeitimų išsaugojimo paspausdami CTRL + X ir iš naujo paleiskite „rsyslog“ serveryje:
# sudo paslaugos rsyslog paleiskite iš naujo
Dabar galite pamatyti naujus katalogus, vieną vadinamą ip-172.31.47.212, kuri yra AWS vidinė sąsaja ir kita vadinama „montsegur“, pavyzdžiui, „rsyslog“ klientas.
Kataloguose galite rasti žurnalus:
Išvada:
Nuotolinis registravimas yra puikus problemos sprendimas, kuris gali sugadinti paslaugas, jei serverio saugykla bus pilna žurnalų, kaip sakyta pradžioje, taip pat kai kuriais atvejais tai yra būtina, kai sistema gali būti rimtai pažeista neleidžiant prieigos prie žurnalų , tokiais atvejais nuotolinis žurnalo serveris garantuoja „sysadmin“ prieigą prie serverio istorijos.
Įdiegti šį sprendimą yra techniškai gana lengva ir netgi nemokama, nes nereikia didelių išteklių, o nemokami serveriai, tokie kaip AWS nemokami pakopos, yra tinkami šiai užduočiai atlikti. Jei padidintumėte žurnalo perdavimo greitį, galite leisti tik UDP protokolą (nepaisant to, kad prarandate patikimumą). Yra keletas „Rsyslog“ alternatyvų, tokių kaip: „Flume“ arba „Sentry“, tačiau „rsyslog“ išlieka populiariausiu įrankiu tarp „Linux“ vartotojų ir „sysadmin“.
Tikiuosi, kad jums buvo naudingas šis straipsnis „Kaip siųsti„ Linux “žurnalus į nuotolinį serverį“.