Logimine on Linuxi serverihalduse kriitiline aspekt. Logiteated on kasulikud algpõhjuste analüüsimiseks ja võimalike vigade vältimiseks tulevikus. Serverivigade analüüsimine ja silumine on nii IT-inseneride kui ka süsteemiadministraatorite põhioskus.

See juhend näitab teile, kuidas seadistada Linuxis kauglogimisserverit, tuntud ka kui logihosti. Logihost võimaldab juurdepääsu ja analüüsi hõlbustamiseks koondada kohalikke Linuxi logisid tsentraliseeritud kaugserverisse.

Miks omada spetsiaalset logiserverit?

Linuxi operatsioonisüsteem logib enamiku teie serveri tegevustest auditeerimiseks ja silumiseks syslogi (süsteemi logimisprotokolli) deemoni abil. Nii et võite küsida, miks ma vajan oma logide jaoks spetsiaalset serverit? Siin on mõned spetsiaalse logiserveri eelised:

  • Parem turvalisus, kuna kauglogimisserveril on ainult mõned väljapoole avatud pordid.
  • Parem serveri jõudlus, kuna kauglogimise host ei käita paljusid teenuseid, välja arvatud logimiseks kasutatavad.
  • Lihtsustab logiteadete arhiveerimist ja haldamist.
instagram viewer

Logiteated on teie serverite ja baasvooderduse auditeerimiseks olulised ning on teie serveri infrastruktuuri ennetava hoolduse põhiosa.

1. samm: rsyslogi installimine Linuxi

See juhend keskendub Ubuntu 20.04-le, kuid protsess peaks olema peaaegu sama, kui kasutate muid tavalisi Linuxi distributsioone.

rsyslog on Linuxi kauglogimise teenus ja see on vaikimisi eelinstallitud enamikele kaasaegsetele Linuxi distributsioonidele, näiteks Ubuntule ja muudele Debianil põhinevatele süsteemidele.

Rsyslogi teenus on kaasaegne ja täiustatud syslogi deemon, mis võimaldab logisid ainult lokaalselt hallata. Rsyslogi deemoni abil saate saata oma kohalikud logid mõnda konfigureeritud Linuxi kaugserverisse.

Kui teie arvutisse pole installitud rsyslogi, saate seda hõlpsasti teha järgmise käsuga Debiani-põhistes distributsioonides:

sudo apt install rsyslog

Red Hat Linuxis saate selle installida, tippides:

yum installige rsyslog

Fedoras ja selle tuletistes käivitage:

dnf installige rsyslog

Rsyslogi installimiseks Arch Linuxi:

jah -S rsyslog

Rsyslogi oleku kontrollimiseks käivitage järgmine käsk:

systemctl olek rsyslog

Väljund:

2. samm: logi hostiserveri konfigureerimine

Logihost on server, mis on konfigureeritud teistelt serveritelt või arvutitelt logiteateid vastu võtma. Rsyslogi konfiguratsioon asub /etc/rsyslog.conf faili.

Saate avada /etc/rsyslog.conf faili kasutades mis tahes teie valitud tekstiredaktor. Selles juhendis kasutame Vimi.

Konfiguratsioonifailis muudatuste tegemiseks vajate kõrgemaid õigusi.

Enne konfiguratsioonifaili redigeerimise alustamist peaksite failist varukoopia või koopia tegema. Selleks käivitage käsk:

sudo cp /etc/rsyslog.conf /etc/rsyslog_original.config

Järgmisena avage /etc/rsyslog.conf faili tekstiredaktoriga.

sudo vim /etc/rsyslog.conf

Rsyslogiga logifailide saatmiseks/vastuvõtmiseks saate kasutada kahte protokolli: TCP ja UDP. See juhend näitab, kuidas mõlemat konfigureerida.

Kauglogimise toimimiseks ei pea te konfigureerima nii UDP-d kui ka TCP-d. Valige ainult üks kahest.

Kui eelistate kasutada UDP-d, otsige üles järgmised read ja tühjendage nende kommentaarid, eemaldades eesosa Nael (#) sümbol, mis eelneb ridadele. Need read leiate konfiguratsioonifaili moodulite jaotisest.

moodul (load = "imudp")
sisend (tüüp = "imudp" port = "514")

Kui eelistate kasutada TCP-d, eemaldage järgmiste ridade kommentaar, eemaldades eesosa Nael (#) sümbol, mis asub ridade alguses:

moodul (load="imtcp")
sisend (tüüp = "imtcp" port = "514")

Järgmine joonis näitab rsyslogi konfiguratsioonifaili, mis on konfigureeritud kasutama UDP-sidet:

Järgmisena seadistage asukoht, kuhu rsyslog teie logid salvestab. Parema korraldamise huvides peaksite sissetulevad logid kategoriseerima nende päritolu järgi. Määratlege oma rsyslogi konfiguratsioonifailis mall, lisades järgmised read:

$template remote-incoming-logs, "/var/log/remote/%HOSTNAME%".log
*.* ?kaugsisenevad logid

Eelnimetatud read annavad logide kaustas salvestamiseks käsu rsyslog /var/log/remote/hostname, kus hostinimi on kaugkliendi nimi, mis saadab logihostile logiteateid.

Nüüd salvestage tehtud muudatused. Kui kasutate Vimi, Siin on, kuidas faili salvestada ja sulgeda.

Lõpuks taaskäivitage rsyslogi teenused, et tehtud muudatused jõustuksid.

sudo systemctl taaskäivitage rsyslog

3. samm: tulemüüri konfigureerimine

Kui teie tulemüür on lubatud, veenduge, et ülalpool konfigureeritud port suudab suhelda välismaailmaga. Sissetulevate logide lubamiseks peate tulemüürireegleid muutma.

Debianil põhinevate distributsioonide puhul kasutage UDP- või TCP-edastusprotokolli lubamiseks lihtsalt UFW-tööriista.

Seotud: Ubuntu tulemüüri konfigureerimine UFW abil

Kui kasutate UDP-d, käivitage järgmine käsk, kus 514 on konfigureeritud pordi number:

sudo ufw 514/udp

Kui kasutate TCP-d pordis 514, käivitage lihtsalt:

sudo ufw 514/tcp

Fedoras saate seda kasutada tulemüür-cmd sarnaste tulemuste saavutamiseks.

firewall-cmd --zone=zone --add-port=514/udp

Red Hat Linuxi jaoks avage iptables fail asub aadressil /etc/sysconfig/iptables kasutades oma valitud tekstiredaktorit ja lisage järgmine reegel:

-A SISEND -m olek -olek UUS -m udp -p udp --dport 514 -j ACCEPT

Muudatuste jõustumiseks taaskäivitage teenus iptables.

teenus iptables taaskäivitub

4. samm: logimiskliendi konfigureerimine

Klient on masin, mis saadab oma logid kaug- või tsentraliseeritud logi hostserverisse. Avage rsyslogi konfiguratsioonifail, mis asub aadressil /etc/rsyslog.conf:

sudo vim /etc/rsyslog.conf

Kui kasutate UDP-d, lisage järgmine rida, kus 192.168.12.123 on kaugserveri IP-aadress, siis kirjutate oma logid aadressile:

*.* @192.168.12.123:514

Kui kasutate TCP-d, lisage selle asemel järgmine rida. Pange tähele, et real on kaks @ sümbolid.

*.* @@192.168.12.123:514

Salvestage muudatused ja taaskäivitage rsyslogi teenus kliendil käsuga:

sudo systemctl taaskäivitage rsyslog

5. samm: logisõnumite vaatamine serveris

Saate kasutada SSH-d oma kaugserverisse sisselogimiseks ja kliendiserveritest saadetud logide vaatamiseks. Sel juhul on rsyslog konfigureeritud nii, et see salvestab kliendi logid /var/log/remote kaugserveri kataloog.

cd /var/logs/remote

Seejärel loetlege kataloogi sisu kasutades ls käsk:

ls -l

Nagu näete väljundis, sisaldab kataloog nimetatud kaugserverite logiteateid andiwa ja rukuru. Nende logifailidele antakse nimed andiwa.log ja rukuru.log vastavalt.

Seejärel saate logifaile vaadata tekstiredaktoriga või rakendusega Linuxi failide vaatamise tööriistad nagu kass või vähem.

Kauglogimine annab teile rohkem kontrolli

Selles juhendis on vaadeldud, kuidas seadistada Linuxis kauglogimisserverit (logi hosti).

Logihost pakub teile logimisel paremat organiseerimist ja kontrolli. Isegi stsenaariumide korral, kus süsteem on kahjustatud või ligipääsmatu, saate siiski vaadata selle logisid logihostist ja välja selgitada, mis valesti läks.

Süsteemi logimisega alustamine Linuxis

Loe edasi

JagaSäutsJagaMeil

Seotud teemad

  • Linux
  • Süsteemi administreerimine
  • Linuxi käsud

Autori kohta

Mwiza Kumwenda (52 avaldatud artiklit)

Mwiza arendab tarkvara erialalt ning kirjutab palju Linuxi ja esiotsa programmeerimise kohta. Mõned tema huvid hõlmavad ajalugu, majandust, poliitikat ja ettevõttearhitektuuri.

Veel Mwiza Kumwendalt

Liituge meie uudiskirjaga

Liituge meie uudiskirjaga tehniliste näpunäidete, arvustuste, tasuta e-raamatute ja eksklusiivsete pakkumiste saamiseks!

Tellimiseks klõpsake siin