如何理解強大而安全的日志處理系統(tǒng)syslog

如何理解強大而安全的日志處理系統(tǒng)syslog,相信很多沒有經(jīng)驗的人對此束手無策,為此本文總結了問題出現(xiàn)的原因和解決方法,通過這篇文章希望你能解決這個問題。

創(chuàng)新互聯(lián)公司是一家專業(yè)提供黑龍江企業(yè)網(wǎng)站建設,專注與成都網(wǎng)站制作、成都做網(wǎng)站、HTML5建站、小程序制作等業(yè)務。10年已為黑龍江眾多企業(yè)、政府機構等服務。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進行中。

Ryslog是一個強大而安全的日志處理系統(tǒng)。Rsylog通過多個物理或虛擬服務器在網(wǎng)絡上接收日志,并監(jiān)視不同服務的健康狀況。使用Rsyslog,您可以從集中位置監(jiān)視其他服務器、網(wǎng)絡設備和遠程應用程序的日志。

簡介

日志對于分析和排除 Linux中的任何問題非常有用。默認情況下,所有日志文件都位于Linux的/var/log目錄中。日志文件有幾種類型,包括cron、內核、用戶、安全性,這些文件中的大多數(shù)都由Rsyslog服務控制。

Ryslog是一個強大而安全的日志處理系統(tǒng)。Rsylog通過多個物理或虛擬服務器在網(wǎng)絡上接收日志,并監(jiān)視不同服務的健康狀況。使用Rsyslog,您可以從集中位置監(jiān)視其他服務器、網(wǎng)絡設備和遠程應用程序的日志。

準備

  • 兩個運行Ubuntu 18.04 LTS版本的虛擬機下載地址: http://mirror.freethought-internet.co.uk/ubuntu-releases/18.04.3/ubuntu-18.04.3-live-server-amd64.iso

  • 在Rsylog服務端配置靜態(tài)IP地址192.168.0.101,在Rsylog客戶端配置192.1680.102。

  • 在兩個服務器上都設置root密碼。

安裝Rsyslog

默認情況下,Rsyslog安裝在Ubuntu 18.04服務器上。如果沒有安裝,您可以通過運行以下 命令來安裝它:

linuxprobe@ubuntu-18-04-lts:~$ apt-get install rsyslog -y

在安裝Rsyslog之后,您可以使用以下 命令檢查Rsyslog的版本:

linuxprobe@ubuntu-18-04-lts:~$ rsyslogd -v
rsyslogd 8.32.0, compiled with:
	PLATFORM:				x86_64-pc-linux-gnu
	PLATFORM (lsb_release -d):		
	FEATURE_REGEXP:				Yes
	GSSAPI Kerberos 5 support:		Yes
	FEATURE_DEBUG (debug build, slow code):	No
	32bit Atomic operations supported:	Yes
	64bit Atomic operations supported:	Yes
	memory allocator:			system default
	Runtime Instrumentation (slow code):	No
	uuid support:				Yes
	systemd support:			Yes
	Number of Bits in RainerScript integers: 64
See http://www.rsyslog.com for more information.

還可以用這個命令檢查Rsyslog的狀態(tài):

linuxprobe@ubuntu-18-04-lts:~$ systemctl status rsyslog
? rsyslog.service - System Logging Service
   Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
   Active: active (running) since Thur 2020-01-16 11:20:32 CST; 1min 31s ago
     Docs: man:rsyslogd(8)
 Main PID: 724 (rsyslogd)
    Tasks: 4 (limit: 1114)
   CGroup: /system.slice/rsyslog.service
           ??724 /usr/sbin/rsyslogd -n
Jan 16 04:28:53 ubuntu-18-04-lts systemd[1]: Starting System Logging Service...
Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (fd 3) from systemd.  [v8.32.0]
Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: rsyslogd's groupid changed to 106
Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: rsyslogd's userid changed to 102
Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]:  [origin software="rsyslogd" swVersion="8.32.0" x-pid="724" x-info="http://www.rsyslog.com"] start
Jan 16 04:28:55 ubuntu-18-04-lts systemd[1]: Started System Logging Service.

配置Rsyslog服務端

linuxprobe@ubuntu-18-04-lts:~$ vim /etc/rsyslog.conf

取消這幾行前面的注釋,同事使用UDP和TCP協(xié)議的514端口

$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514

指定子網(wǎng)、IP或域名來限制訪問,如下所示:

$AllowedSender TCP, 127.0.0.1, 192.168.0.0/24, *.example.com
$AllowedSender UDP, 127.0.0.1, 192.168.0.0/24, *.example.com

創(chuàng)建一個模板來告訴Rsyslog如何存儲傳入的syslog消息。在GLOBAL DIRECTIVES部分之前添加以下幾行:

$template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
*.* ?remote-incoming-logs

用以下命令檢查Rsyslog配置信息是否有語法錯誤:

linuxprobe@ubuntu-18-04-lts:~$ rsyslogd -f /etc/rsyslog.conf -N1
rsyslogd: version 8.32.0, config validation run (level 1), master config /etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.

重新啟動Rsyslog:

linuxprobe@ubuntu-18-04-lts:~$ systemctl restart rsyslog

驗證Rsyslog正在使用以下命令監(jiān)聽TCP/UDP:

linuxprobe@ubuntu-18-04-lts:~$ netstat -4altunp | grep 514
tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      1332/rsyslogd       
udp        0      0 0.0.0.0:514             0.0.0.0:*                           1332/rsyslogd

配置Rsyslog客戶端

配置Rsyslog客戶端來向遠程服務端發(fā)送系統(tǒng)日志消息。登錄客戶端,打開/etc/rsyslog.conf添加如下信息:

linuxprobe@ubuntu-18-04-lts:~$ vim /etc/rsyslog.conf
##Enable sending of logs over UDP add the following line:
*.* @192.168.0.101:514
##Enable sending of logs over TCP add the following line:
*.* @@192.168.0.101:514
##Set disk queue when rsyslog server will be down:
$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1

重新啟動Rsyslog:

linuxprobe@ubuntu-18-04-lts:~$ systemtcl restart rsyslog

查看日志

此時,Rsyslog客戶端被配置為將它們的日志發(fā)送到Rsyslog服務端。
現(xiàn)在,登錄到Rsyslog服務器并檢查/var/log目錄。看到客戶端機器的主機名,包括幾個日志文件:

linuxprobe@ubuntu-18-04-lts:~$ ls /var/log/rsyslog-client/
CRON.log  kernel.log  rsyslogd-2039.log  rsyslogd.log  sudo.log  wpa_supplicant.log

總結

在上面的文章中,我們學習了如何在Ubuntu 18.04服務器上安裝和配置RysLogServer。我們還學習了如何配置rsyslog客戶端 向rsyslog服務端發(fā)送日志。

看完上述內容,你們掌握如何理解強大而安全的日志處理系統(tǒng)syslog的方法了嗎?如果還想學到更多技能或想了解更多相關內容,歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝各位的閱讀!

文章題目:如何理解強大而安全的日志處理系統(tǒng)syslog
瀏覽地址:http://muchs.cn/article46/ghchhg.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站建設企業(yè)建站、ChatGPT微信公眾號、網(wǎng)站策劃品牌網(wǎng)站制作

廣告

聲明:本網(wǎng)站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

微信小程序開發(fā)