O arquivo rsysLog pode ser usado para configurar um servidor de log central, bem como para configurar os sistemas clientes individuais para enviar seus arquivos de log para o servidor de logging.
O RSYSLOG pode ser instalado nas distribuições Red Hat e Ubuntu. O Repositório Adiscon Ubuntu fornece as versões mais recentes do RSYSLOG no Ubuntu. Da mesma forma, o Repositório RPM Adiscon fornece as versões mais recentes do RSYSLOG para Red Hat/CentOS.
Para usar um sistema como servidor de registro, instale o serviço RSYSLOG nesse sistema. Além disso, instale o serviço RSYSLOG nos sistemas que enviarão logs para este servidor.
Com o daemon rsysLog, podemos enviar logs para servidores remotos. É relativamente simples configurar o rsysLog. Os arquivos de log são centralizados, o que ajuda no arquivamento e nos processos de solução de problemas.
Por que os arquivos de log são importantes?
Os arquivos de log são basicamente uma parte indispensável de uma configuração do servidor. Esses arquivos são usados em:
Os arquivos de log são uma fonte chave para coletar informações críticas sobre um sistema e vários processos em execução. Esta informação é usada para obras de auditoria e solução de problemas.
O que vamos cobrir?
Neste tutorial, você aprenderá sobre o serviço RSYSLOG no Linux.
Escolhendo a partição para /var /log
O /etc /rsyslog.Conf contém uma lista de arquivos de log que são gerenciados pelo Daemon RsysLogd. O diretório/var/log/contém a maioria dos arquivos de log. Aplicações como Samba, Httpd e outros também armazenam seus logs dentro de um subdiretório dentro do /var /log.
É uma boa prática montar o diretório /var /log em uma partição separada. Isso ajuda a evitar uma situação em que os logs locais ocupam o espaço compartilhado pelo sistema de arquivos raiz. Esta é uma etapa criticamente importante na configuração dos servidores que recebem muitos arquivos de log de vários sistemas remotos.
O serviço de log rsyslog
O aplicativo RSYSLOG ajuda a centralizar a coleção de logs em sua infraestrutura. Este aplicativo funciona em paralelo com o chamado Systemd-Journald. Embora o serviço RSYSLOG ainda seja usado nos sistemas Red Hat, agora está sendo substituído por este novo sistema de log, o Systemd-Journald.
O Systemd-Journald foi introduzido com o Systemd no Rhel 7 e continua sendo usado com Rhel 8 e 9. O serviço RSYSLOG fornece compatibilidade com versões anteriores em sistemas RHEL mais recentes.
O rsyslog.Configuration Arquivo de Configuração
Vamos agora lidar com o RsysLog real.arquivo conf localizado em /etc/rsyslog.conf. Este arquivo é compatível com o syslog.arquivo conferido do sysklogd.
As regras especificadas neste arquivo governam como o RSYSLOGD lida com as mensagens. De uma maneira geral, pode -se categorizar as mensagens com base em sua fonte, tópico (instalação) e urgência (prioridade). Uma vez classificado, uma ação pode ser atribuída e executada quando uma mensagem qualifica a condição definida.
Este arquivo tem três especificações principais: diretivas, módulos e regras globais. A seção de regras compreende os componentes de filtro e ação.
Exemplo de trechos de arquivo no RHEL 8:
$ cat /etc /rsyslog.conf
# Arquivo de configuração RSYSLOG
#### Módulos ####
módulo (load = "iMuxSock" # fornece suporte para o log de sistemas locais (e.g. via comando logger)
# As mensagens locais são recuperadas através do iMjournal agora.
Módulo (load = "iMjournal" # fornece acesso ao diário do Systemd
#### Diretivas globais ####
# Onde colocar arquivos auxiliares
Global (WorkDirectory = "/var/lib/rsyslog")
# Use o formato padrão de timestamp padrão
módulo (load = "incorporado: omfile" modelo = "rsyslog_traditionalfileformat")
# Inclua todos os arquivos de configuração em /etc /rsyslog.d/
incluir (file = "/etc/rsyslog.d/*.conf "mode =" opcional ")
#### REGRAS ####
# Registre todas as mensagens do kernel no console.
Diretivas Globais
Diretivas globais são usadas para configurar o daemon rsysLogd. Geralmente, eles especificam um valor para uma variável predefinida específica que afeta a funcionalidade do rsysLogd ou uma regra.
Seção do módulo
Adicionar extensões no rsyslog é simples por causa de sua arquitetura modular. Quando você abre o arquivo, há uma linha:
Módulo (load = "iMuxSock") # fornece suporte para o registro do sistema local
O objetivo desta linha é direcionar o rsyslog para carregar o módulo "Imuxsock" para receber mensagens através do /dev /log.
Então, há um bloco para a recepção do UDP Syslog:
#module (load = "imudp")
#Input (type = "imudp" porta = "514")
Embora essas linhas que comecem com "#" sejam comentários e são apenas ignoradas. Mas eles dizem como configurar o servidor RSYSLOG para receber as mensagens em uma rede UDP.
Como sempre, a primeira linha carrega o módulo chamado "Imudp". A segunda linha especifica a porta UDP 514 como a porta na qual o módulo deve ouvir as mensagens de registro. Quando você quiser usar esse recurso, basta comentar as linhas.
Seção de regras
Na parte inferior do arquivo de configuração, há um bloco que contém as seguintes linhas:
# Inclua todos os arquivos de configuração em /etc /rsyslog.d/
$ IncluindoConfig /etc /rsysLog.d/*.conf
Outros arquivos podem ser adicionados em uma configuração do RSYSLOG, simplificando o gerenciamento dos arquivos, particularmente enquanto supervisiona uma grande rede de sistemas. Esta diretiva instrui o rsysLogd a carregar todos os arquivos dentro do /etc/rsyslog.d.
Seletores e ações
Para enviar uma mensagem de log para algum lugar, temos que definir uma regra que corresponda à mensagem. Por exemplo, considere a seguinte linha de /etc/syslog.D/50 Default.conf:
*.= Debug/Var/Log/Debug
Aqui, a primeira parte, “*.= Debug ”, é um seletor. A próxima parte, “/Var/log/debug”, é o caminho para o local em que o rsysLogd coloca as mensagens filtradas.
A parte dos filtros de uma regra escolhe uma parte das mensagens syslog. A parte da ação decide qual ação deve ser executada com essas mensagens.
O RSYSLOG tem diferentes maneiras de filtrar as mensagens syslog com base nas propriedades escolhidas. Os métodos de filtragem podem ser classificados com base em: instalação/prioridade, propriedade e expressões.
A parte das ações, como mencionado anteriormente, especifica o que fazer com as mensagens anteriormente filtradas. As ações podem estar armazenando as mensagens syslog para os arquivos de log, transferindo as mensagens syslog em uma rede, etc.
Obtendo a documentação do RSYSLOG
Uma documentação abrangente do aplicativo RSYSLOG pode ser vista online em https: // www.rsyslog.com/doc/. No entanto, um pacote de documentação local chamado rsysLog-doutorado também pode ser instalado em seu sistema.
Para instalar este pacote no RHEL 8, você precisa ter um repositório AppStream instalado e um acesso administrativo em seu sistema. Depois que esses requisitos forem atendidos, basta executar o seguinte comando para instalar este pacote:
$ yum install rsyslog-doutor
Para verificar se o pacote está instalado corretamente, execute o seguinte comando:
$ firefox/usr/share/doc/rsyslog/html/index.html &
Editando o Rsyslog.Conf Arquivo
Antes de editar este arquivo, faça um backup para que possamos restaurar a um ponto seguro se algo der errado.
Vamos configurar este arquivo para UDP. Agora abrimos este arquivo e o descomamento, as linhas correspondentes ao UDP:
# fornece recepção de syslog UDP
módulo (load = "imudp")
input (type = "imudp" porta = "514")
Da mesma forma, para configurar este arquivo para a recepção do TCP, o descomamento as linhas correspondentes ao TCP:
# Fornece recepção de syslog TCP
módulo (load = "imtcp")
input (type = "imtcp" porta = "514"
Conclusão
Este tutorial apresenta uma visão geral do serviço RSYSLOG no Linux. Você também pode se referir às páginas principais para explorar as informações detalhadas sobre este serviço.