如何理解強大而安全的日志處理系統(tǒng)syslog,相信很多沒有經(jīng)驗的人對此束手無策,為此本文總結了問題出現(xiàn)的原因和解決方法,通過這篇文章希望你能解決這個問題。
創(chuàng)新互聯(lián)公司是一家專業(yè)提供黑龍江企業(yè)網(wǎng)站建設,專注與成都網(wǎng)站制作、成都做網(wǎng)站、HTML5建站、小程序制作等業(yè)務。10年已為黑龍江眾多企業(yè)、政府機構等服務。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進行中。
Ryslog是一個強大而安全的日志處理系統(tǒng)。Rsylog通過多個物理或虛擬服務器在網(wǎng)絡上接收日志,并監(jiān)視不同服務的健康狀況。使用Rsyslog,您可以從集中位置監(jiān)視其他服務器、網(wǎng)絡設備和遠程應用程序的日志。 |
簡介
日志對于分析和排除 Linux中的任何問題非常有用。默認情況下,所有日志文件都位于Linux的/var/log目錄中。日志文件有幾種類型,包括cron、內核、用戶、安全性,這些文件中的大多數(shù)都由Rsyslog服務控制。
Ryslog是一個強大而安全的日志處理系統(tǒng)。Rsylog通過多個物理或虛擬服務器在網(wǎng)絡上接收日志,并監(jiān)視不同服務的健康狀況。使用Rsyslog,您可以從集中位置監(jiān)視其他服務器、網(wǎng)絡設備和遠程應用程序的日志。
準備
兩個運行Ubuntu 18.04 LTS版本的虛擬機下載地址: http://mirror.freethought-internet.co.uk/ubuntu-releases/18.04.3/ubuntu-18.04.3-live-server-amd64.iso
在Rsylog服務端配置靜態(tài)IP地址192.168.0.101,在Rsylog客戶端配置192.1680.102。
在兩個服務器上都設置root密碼。
安裝Rsyslog
默認情況下,Rsyslog安裝在Ubuntu 18.04服務器上。如果沒有安裝,您可以通過運行以下 命令來安裝它:
linuxprobe@ubuntu-18-04-lts:~$ apt-get install rsyslog -y
在安裝Rsyslog之后,您可以使用以下 命令檢查Rsyslog的版本:
linuxprobe@ubuntu-18-04-lts:~$ rsyslogd -v rsyslogd 8.32.0, compiled with: PLATFORM: x86_64-pc-linux-gnu PLATFORM (lsb_release -d): FEATURE_REGEXP: Yes GSSAPI Kerberos 5 support: Yes FEATURE_DEBUG (debug build, slow code): No 32bit Atomic operations supported: Yes 64bit Atomic operations supported: Yes memory allocator: system default Runtime Instrumentation (slow code): No uuid support: Yes systemd support: Yes Number of Bits in RainerScript integers: 64 See http://www.rsyslog.com for more information.
還可以用這個命令檢查Rsyslog的狀態(tài):
linuxprobe@ubuntu-18-04-lts:~$ systemctl status rsyslog ? rsyslog.service - System Logging Service Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled) Active: active (running) since Thur 2020-01-16 11:20:32 CST; 1min 31s ago Docs: man:rsyslogd(8) Main PID: 724 (rsyslogd) Tasks: 4 (limit: 1114) CGroup: /system.slice/rsyslog.service ??724 /usr/sbin/rsyslogd -n Jan 16 04:28:53 ubuntu-18-04-lts systemd[1]: Starting System Logging Service... Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (fd 3) from systemd. [v8.32.0] Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: rsyslogd's groupid changed to 106 Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: rsyslogd's userid changed to 102 Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: [origin software="rsyslogd" swVersion="8.32.0" x-pid="724" x-info="http://www.rsyslog.com"] start Jan 16 04:28:55 ubuntu-18-04-lts systemd[1]: Started System Logging Service.
配置Rsyslog服務端
linuxprobe@ubuntu-18-04-lts:~$ vim /etc/rsyslog.conf
取消這幾行前面的注釋,同事使用UDP和TCP協(xié)議的514端口
$ModLoad imudp $UDPServerRun 514 $ModLoad imtcp $InputTCPServerRun 514
指定子網(wǎng)、IP或域名來限制訪問,如下所示:
$AllowedSender TCP, 127.0.0.1, 192.168.0.0/24, *.example.com $AllowedSender UDP, 127.0.0.1, 192.168.0.0/24, *.example.com
創(chuàng)建一個模板來告訴Rsyslog如何存儲傳入的syslog消息。在GLOBAL DIRECTIVES部分之前添加以下幾行:
$template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" *.* ?remote-incoming-logs
用以下命令檢查Rsyslog配置信息是否有語法錯誤:
linuxprobe@ubuntu-18-04-lts:~$ rsyslogd -f /etc/rsyslog.conf -N1 rsyslogd: version 8.32.0, config validation run (level 1), master config /etc/rsyslog.conf rsyslogd: End of config validation run. Bye.
重新啟動Rsyslog:
linuxprobe@ubuntu-18-04-lts:~$ systemctl restart rsyslog
驗證Rsyslog正在使用以下命令監(jiān)聽TCP/UDP:
linuxprobe@ubuntu-18-04-lts:~$ netstat -4altunp | grep 514 tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 1332/rsyslogd udp 0 0 0.0.0.0:514 0.0.0.0:* 1332/rsyslogd
配置Rsyslog客戶端
配置Rsyslog客戶端來向遠程服務端發(fā)送系統(tǒng)日志消息。登錄客戶端,打開/etc/rsyslog.conf添加如下信息:
linuxprobe@ubuntu-18-04-lts:~$ vim /etc/rsyslog.conf ##Enable sending of logs over UDP add the following line: *.* @192.168.0.101:514 ##Enable sending of logs over TCP add the following line: *.* @@192.168.0.101:514 ##Set disk queue when rsyslog server will be down: $ActionQueueFileName queue $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1
重新啟動Rsyslog:
linuxprobe@ubuntu-18-04-lts:~$ systemtcl restart rsyslog
查看日志
此時,Rsyslog客戶端被配置為將它們的日志發(fā)送到Rsyslog服務端。
現(xiàn)在,登錄到Rsyslog服務器并檢查/var/log目錄。看到客戶端機器的主機名,包括幾個日志文件:
linuxprobe@ubuntu-18-04-lts:~$ ls /var/log/rsyslog-client/ CRON.log kernel.log rsyslogd-2039.log rsyslogd.log sudo.log wpa_supplicant.log
總結
在上面的文章中,我們學習了如何在Ubuntu 18.04服務器上安裝和配置RysLogServer。我們還學習了如何配置rsyslog客戶端 向rsyslog服務端發(fā)送日志。
看完上述內容,你們掌握如何理解強大而安全的日志處理系統(tǒng)syslog的方法了嗎?如果還想學到更多技能或想了解更多相關內容,歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝各位的閱讀!
文章題目:如何理解強大而安全的日志處理系統(tǒng)syslog
瀏覽地址:http://muchs.cn/article46/ghchhg.html
成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站建設、企業(yè)建站、ChatGPT、微信公眾號、網(wǎng)站策劃、品牌網(wǎng)站制作
聲明:本網(wǎng)站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)