Sådan opsættes Central Logging Server med rsyslog i Linux.

Logfiler er en kritisk komponent i enhver software eller operativsystem. Logs registrerer normalt brugerens handlinger, systembegivenheder, netværksaktivitet og meget mere, afhængigt af hvad de er beregnet til. Et af de mest anvendte loggings systemer på Linux-systemer er rsyslog.

Rsyslog er et kraftfuldt, sikkert og højtydende logbehandlingssystem, der accepterer data fra forskellige typer kilder (systemer/applikationer) og udsender dem til flere formater.

Det har udviklet sig fra en regelmæssig syslog-dæmon til et fuldt udstyret, loggings system til virksomhedsniveau. Det er designet i en klient/servermodel, derfor kan det konfigureres som en klient og som en central log server til andre servere, netværksenheder og eksterne applikationer.

For at sende logs til en syslog server skal du ændre config filen for rsyslog som ligger i /etc/rsyslog.conf

$ vi /etc/rsyslog.conf

For at serveren modtager syslogs på UDP eller TCP skal man aktivere den type logs som modtages.

Her UDP

# provides UDP syslog reception
#module(load=”imudp”)
#input(type=”imudp” port=”514″)

Her TCP

# provides TCP syslog reception
#module(load=”imtcp”)
#input(type=”imtcp” port=”514″)

Så du skal bare fjerne # fra den type log server som du ønsker. Jeg bruger altid UDP da det køre meget hurtigt.

I bunden af konfig filen skal du indsætte denne linje for at sende logs til remote server.  Du kan også aktivere dem begge og modtage alle type af logs fra serverene.

Der er rigtig mange muligheder her. hvordan logs skal behandlers send til anden server og hvilken type af logs som skal sendes/gemmes.

Du kan se hvilken log filer som bliver brugt af dit OS ved at kikke i default config filen for syslog. 
Den ligger som vist her. 

 

$ less /etc/rsyslog.d/50-default.conf

Jeg bruger UDP Det gør system er virkelig hurtigt. Der kan skrives mange linjer log pr sekund.

Her som vist bruger jeg server på ip 1.2.3.4 til at sende syslog til. 
Dette kræver at syslog på serveren 1.2.3.4 har åben port 514/UDP. som vist ovenfor.

Så i bunden af alle serverne som skal sende logs får denne linje indsat i bunden af /etc/rsyslog.conf filen.

For at fortælle hvilken type server det er bruges @ som tegn.

@ beskriver TCP
@@ beskriver UDP

Da jeg bruger UDP i mit eksempel her, skal der være @@

*.* @@1.2.3.4:514
0

Author:

Jeg er en professionel system administrator og grundlægger af linuxboxen.dk Jeg er en ivrig Linux-elsker og open source-entusiast. Jeg bruger Ubuntu og tror på at dele viden. Bortset fra Linux, elsker musik og dyr. Jeg er en stor fan af Dire straits.

Skriv et svar