Установка сервера Rsyslog в Debian Linux

Файлы журналов очень важны для поиска и устранения ошибок. Это первые файлы, которые системные администраторы тщательно изучают, чтобы определить вероятную причину ошибки и, таким образом, придумать решения для устранения проблемы. В инфраструктуре с десятками или сотнями серверов и других устройств управление файлами журналов может стать сложной задачей. И здесь на помощь приходит rsyslog.

Rsyslog - это программа ведения журналов с открытым исходным кодом, которая облегчает пересылку файлов журналов на централизованный сервер журналов в IP-сети. Благодаря централизованной регистрации администраторы могут легко следить за лог-файлами нескольких систем из одной точки.

Rsyslog

Настройте Rsyslog на сервере

Rsyslog работает по модели клиент-сервер, и мы начнём с настройки Rsyslog на сервере Debian. Если по какой-то причине Rsyslog отсутствует, вы можете установить его с помощью команды:

После установки вы можете проверить статус его работы следующим образом:

Далее мы настроим rsyslog для работы в режиме сервера. Файл конфигурации - это файл /etc/rsyslog.conf. Поэтому отредактируйте его с помощью удобного для вас текстового редактора.

Отредактируйте следующие строки, которые обеспечивают прием UDP и TCP syslog от удаленных клиентов.

После этого вставьте следующие строки, чтобы определить шаблон, который демон Rsyslog будет использовать для хранения входящих журналов от клиентских систем.

Файлы журнала будут использовать следующее соглашение об именовании:

%HOSTNAME% - Это имя хоста клиентской системы.
%PROGRAMNAME% - Здесь указывается клиентская программа, создавшая файл журнала.

rsyslog server config

Чтобы применить изменения, перезапустите демон rsyslog.

По умолчанию rsyslog прослушивает порт 514. Вы можете убедиться, что демон rsyslog прослушивает именно этот порт, выполнив команду ss.

Настройка правил брандмауэра для rsyslog

Демон Rsyslog запущен на сервере, как и ожидалось. Если вы используете брандмауэр UFW, убедитесь, что разрешили порт 514, чтобы разрешить входящие сообщения журнала.

Затем перезагрузите брандмауэр, чтобы применить правило брандмауэра следующим образом.

Следующим шагом будет настройка клиентской системы Ubuntu на отправку файлов журнала на сервер rsyslog.

Настройка клиентской системы rsyslog

Последний шаг - это настройка клиентской системы для отправки файлов журнала на сервер rsyslog. Войдите в систему клиента и еще раз убедитесь, что демон rsyslog установлен и запущен.

Затем отредактируйте файл конфигурации rsyslog.

Перейдите в самый конец файла и добавьте эти строки.

Эти строки инструктируют клиента отправлять файлы журналов по протоколам UDP и TCP на сервер rsyslog. Обратите внимание, что в первой строке один символ @ означает UDP, а во второй строке два символа @@ означают протокол TCP.

Если удаленный сервер будет простаивать, а вы хотите сохранить свои журналы, вы можете установить буфер дисковой очереди, добавив строки, показанные на рисунке.

Сохраните и выйдите из файла. Теперь перезапустите службу rsyslog, чтобы изменения вступили в силу.

На этом этапе клиентская система должна отправлять файлы журнала на сервер rsyslog.

Просмотр файлов журнала клиента

Все файлы журналов (включая серверы) хранятся в каталоге /var/log/. Чтобы просмотреть журналы клиента, выполните следующую команду:

Файлы журнала клиента будут сохранены в каталоге, соответствующем имени хоста клиентской системы.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий