Come configurare la registrazione remota su Linux utilizzando rsyslog

La registrazione è un aspetto critico della gestione del server Linux. I messaggi di registro sono utili per l'analisi della causa principale ed evitare potenziali occorrenze di errori in futuro. L'analisi e il debug degli errori del server è un'abilità fondamentale sia per gli ingegneri IT che per gli amministratori di sistema.

Questa guida ti mostrerà come configurare un server di registrazione remoto, noto anche come host di log, su Linux. Un host di log consente di aggregare i log locali di Linux su un server centralizzato remoto per facilitare l'accesso e l'analisi.

Perché avere un server di log dedicato?

Il sistema operativo Linux registra la maggior parte delle attività sul server per il controllo e il debug utilizzando il demone syslog (protocollo di registrazione del sistema). Quindi potresti chiederti, perché ho bisogno di un server dedicato per i miei log? Ecco alcuni vantaggi nell'avere un server di registrazione dedicato:

• Maggiore sicurezza perché il server di registrazione remoto ha solo poche porte aperte verso l'esterno.
instagram viewer
• Prestazioni del server migliorate perché l'host di registrazione remoto non esegue molti servizi, ad eccezione di quelli utilizzati per la registrazione.
• Facilita l'archiviazione e la gestione dei messaggi di registro.

I messaggi di registro sono importanti per il controllo dei server e la baseline e sono una parte fondamentale delle procedure di manutenzione preventiva sull'infrastruttura del server.

Passaggio 1: installazione di rsyslog su Linux

Questa guida si concentra su Ubuntu 20.04, ma il processo dovrebbe essere praticamente lo stesso se stai utilizzando altre distribuzioni Linux tradizionali.

rsyslog è un servizio di registrazione remota per Linux e viene preinstallato per impostazione predefinita sulla maggior parte delle moderne distribuzioni Linux, ad esempio Ubuntu e altri sistemi basati su Debian.

Il servizio rsyslog è un demone moderno e migliorato per syslog, che consente solo di gestire i log in locale. Con il demone rsyslog, puoi inviare i tuoi registri locali a un server Linux remoto configurato.

Se non hai rsyslog installato sul tuo PC, puoi farlo facilmente usando il seguente comando, su distribuzioni basate su Debian:

sudo apt install rsyslog

Su Red Hat Linux, puoi installarlo digitando:

yum installa rsyslog

Su Fedora e i suoi derivati, esegui:

dnf installa rsyslog

Per installare rsyslog su Arch Linux:

sì -S rsyslog

Per controllare lo stato di rsyslog, eseguire il comando seguente:

stato systemctl rsyslog

Produzione:

Passaggio 2: configurazione del server host del registro

L'host del registro è il server configurato per ricevere messaggi di registro da altri server o PC. La configurazione di rsyslog risiede in /etc/rsyslog.conf file.

Puoi aprire il /etc/rsyslog.conf file utilizzando qualsiasi editor di testo di tua scelta. In questa guida useremo Vim.

Avrai bisogno di privilegi elevati per apportare modifiche al file di configurazione.

Prima di iniziare a modificare il file di configurazione, dovresti eseguire un backup o una copia del file. Per farlo, esegui il comando:

sudo cp /etc/rsyslog.conf /etc/rsyslog_original.config

Quindi, apri il /etc/rsyslog.conf file utilizzando un editor di testo.

sudo vim /etc/rsyslog.conf 

Esistono due protocolli che puoi utilizzare per inviare/ricevere file di registro con rsyslog: TCP e UDP. Questa guida mostra come configurare entrambi.

Non è necessario configurare sia UDP che TCP per il funzionamento della registrazione remota. Scegli solo uno dei due.

Se preferisci usare UDP, cerca e decommenta le seguenti righe rimuovendo l'interlinea Libbra (#) simbolo che precede le righe. Puoi trovare queste righe nella sezione moduli del file di configurazione.

modulo (load="imudp")
input (type="imudp" port="514")

Se preferisci usare TCP, decommenta le seguenti righe rimuovendo l'interlinea Libbra (#) simbolo posto all'inizio delle righe:

modulo (load="imtcp")
input (type="imtcp" port="514")

La figura seguente mostra il file di configurazione rsyslog configurato per utilizzare la comunicazione UDP:

Quindi, configura la posizione in cui rsyslog memorizzerà i tuoi registri. Per una migliore organizzazione, dovresti classificare i log in entrata in base alla loro origine. Definisci un modello nel tuo file di configurazione rsyslog aggiungendo le seguenti righe:

$template log-in entrata-remoti, "/var/log/remote/%HOSTNAME%".log
*.* ?registri in entrata-remoti

Le righe di cui sopra comandano rsyslog per memorizzare i registri nella cartella /var/log/remote/hostname, dove Nome host è il nome del client remoto che invia i messaggi di registro all'host di registro.

Ora, salva le modifiche che hai apportato. Se stai usando Vim, ecco come salvare e chiudere un file.

Infine, riavvia i servizi rsyslog per rendere effettive le modifiche apportate.

sudo systemctl riavvia rsyslog

Passaggio 3: configurazione del firewall

Se il tuo firewall è abilitato, assicurati che la porta che hai configurato sopra sia in grado di comunicare con il mondo esterno. Dovrai modificare le regole del firewall per consentire i log in entrata.

Per le distribuzioni basate su Debian, usa semplicemente lo strumento UFW, per abilitare il protocollo di trasferimento UDP o TCP.

Imparentato: Come configurare il firewall in Ubuntu usando UFW

Se si utilizza UDP, eseguire il comando seguente, dove 514 è il numero di porta configurato:

sudo ufw 514/udp

Se stai usando TCP sulla porta 514, esegui semplicemente:

sudo ufw 514/tcp

Su Fedora, puoi usare firewall-cmd per ottenere risultati simili.

firewall-cmd --zone=zona --add-port=514/udp

Per Red Hat Linux, apri il file iptables file che si trova in /etc/sysconfig/iptables utilizzando il tuo editor di testo preferito e aggiungi la seguente regola:

-A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT

Riavvia il servizio iptables per rendere effettive le modifiche.

riavvio del servizio iptables

Passaggio 4: configurazione del client di registrazione

Il client è la macchina che invia i propri log a un server host di log remoto o centralizzato. Apri il file di configurazione rsyslog che si trova in /etc/rsyslog.conf:

sudo vim /etc/rsyslog.conf

Aggiungi la seguente riga se stai usando UDP, dove 192.168.12.123 è l'indirizzo IP del server remoto, scriverai i tuoi log su:

*.* @192.168.12.123:514

Se stai usando TCP, aggiungi invece la seguente riga. Nota che la linea ne ha due @ simboli.

*.* @@192.168.12.123:514

Salva le modifiche e riavvia il servizio rsyslog sul client con il comando:

sudo systemctl riavvia rsyslog

Passaggio 5: visualizzazione dei messaggi di registro sul server

È possibile utilizzare SSH per accedere al server remoto e visualizzare i registri inviati dai server client. In questo caso, rsyslog è configurato in modo da archiviare i log del client nel file /var/log/remote directory del server remoto.

cd /var/logs/remoto

Quindi elenca il contenuto della directory usando il comando ls:

ls -l

Come puoi vedere nell'output, la directory contiene messaggi di registro per i server remoti indicati andiwa e rukuru. I loro file di registro sono denominati andiwa.log e rukuru.log rispettivamente.

È quindi possibile guardare i file di registro utilizzando un editor di testo o con Strumenti per la visualizzazione di file Linux come gatto o meno.

La registrazione remota ti dà più controllo

Questa guida ha esaminato come configurare un server di registrazione remoto (host di registro) su Linux.

Un host di log offre una migliore organizzazione e controllo quando si tratta di registrazione. Anche negli scenari in cui un sistema è danneggiato o inaccessibile, puoi comunque visualizzare i suoi registri dall'host di registro e capire cosa è andato storto.

Guida introduttiva alla registrazione del sistema in Linux

Leggi Avanti

Circa l'autore