Kā nosūtīt Linux žurnālus uz attālo serveri

Galvenais iemesls, lai izmantotu attālo reģistrēšanu, ir tas pats iemesls, kura dēļ ieteicams izmantot īpašu / var nodalījumu: jautājums par vietu, bet ne tikai. Nosūtot žurnālus uz īpašu glabāšanas ierīci, jūs varat novērst, ka jūsu žurnāli aizņem visu vietu, vienlaikus saglabājot milzīgu vēsturisko datu bāzi, lai atļautos kļūdas.

Augšupielādējot žurnālus attālajā resursdatorā, mēs varam centralizēt pārskatus par vairākām ierīcēm un saglabāt ziņojumu dublējumu, lai veiktu izpēti, ja kaut kas neizdodas, kas neļauj mums lokāli piekļūt žurnāliem.

Šajā apmācībā ir parādīts, kā iestatīt attālo serveri žurnālu mitināšanai un kā nosūtīt šos žurnālus no klienta ierīcēm un kā žurnālus žurnālus klasificēt vai sadalīt pēc klienta resursdatora.

Lai izpildītu virtuālās ierīces norādījumus, es paņēmu no Amazon bezmaksas līmeņa VPS (ja jums nepieciešama palīdzība, lai iestatītu Amazon ierīci, viņiem tajā ir liels veltīts saturs vietnē LinuxHint plkst https: // linuxhint.com / category / aws /). Ņemiet vērā, ka servera publiskais IP atšķiras no tā iekšējā IP.

Pirms sākuma:

Programmatūra, ko izmanto, lai attālināti nosūtītu žurnālus, ir rsyslog, pēc noklusējuma tā tiek piegādāta Debian un atvasinātajos Linux izplatījumos, ja jums tā nedarbojas:

# sudo apt instalēt rsyslog

Vienmēr varat pārbaudīt rsyslog stāvokli, palaižot:

# sudo pakalpojuma rsyslog statuss

Kā redzat, ka ekrānuzņēmuma statuss ir aktīvs, ja jūsu rsyslog nav aktīvs, to vienmēr varat sākt, palaižot:

# sudo pakalpojuma rsyslog sākums

Or

# systemctl sākt rsyslog

Piezīme: Lai iegūtu papildinformāciju par visām Debian pakalpojumu pārvaldīšanas iespējām, pārbaudiet Pārtrauciet, palaidiet un restartējiet pakalpojumus Debian.

Rsyslog palaišana pašlaik nav aktuāla, jo pēc dažu izmaiņu veikšanas mums tas būs jārestartē.

Kā nosūtīt Linux žurnālus uz attālo serveri: servera puse

Pirmkārt, serverī rediģējiet failu / etc / resyslog.konf izmantojot nano vai vi:

# nano / etc / rsyslog.konf

Failā noņemiet komentāru vai pievienojiet šādas rindas:

modulis (slodze = "imudp")
ievade (tips = "imudp" ports = "514")
modulis (slodze = "imtcp")
ievade (tips = "imtcp" ports = "514")

Virs mums ir nekomentētas vai pievienotas žurnālu pieņemšanas, izmantojot UDP un TCP, jūs varat atļaut tikai vienu no tiem vai abus, pēc tam, kad tie nav komentēti vai pievienoti, jums būs jārediģē ugunsmūra kārtulas, lai atļautu ienākošos žurnālus, lai ļautu žurnālus saņemt, izmantojot TCP:

# ufw allow 514 / tcp

Lai atļautu ienākošo žurnālu palaišanu, izmantojot UDP protokolu:

# ufw atļaut 514 / udp

Lai ļautu gan TCP, gan UDP, palaidiet divas iepriekš minētās komandas.

Piezīme: lai iegūtu vairāk informācijas par UFW, varat izlasīt Darbs ar Debian ugunsmūri (UFW).

Restartējiet rsyslog pakalpojumu, palaižot:

# sudo pakalpojuma rsyslog restartēšana

Tagad turpiniet klientam konfigurēt žurnālu sūtīšanu, pēc tam mēs atgriezīsimies serverī, lai uzlabotu formātu.

Kā nosūtīt Linux žurnālus uz attālo serveri: klienta puse

Klientam, kas sūta žurnālus, pievienojiet šādu rindu, aizstājot IP 18.223.3.241 jūsu servera IP.

*.* @@ 18.223.3.241: 514

Aizveriet un saglabājiet izmaiņas, nospiežot CTRL + X.

Pēc rediģēšanas restartējiet rsyslog pakalpojumu, palaižot:

# sudo pakalpojuma rsyslog restartēšana

Servera pusē:

Tagad jūs varat pārbaudīt žurnālus iekšā / var / log, tos atverot, pamanīsit jauktus sava žurnāla avotus. Šajā piemērā parādīti žurnāli no Amazon iekšējās saskarnes un no Rsyslog klienta (Montsegur):

Tālummaiņa to skaidri parāda:

Jaukti faili nav ērti, tālāk mēs rediģēsim rsyslog konfigurāciju, lai žurnāli tiktu atdalīti atbilstoši avotam.

Lai atšķirtu žurnālus žurnālos ar klienta resursdatora nosaukumu, pievienojiet šādas rindas serverim / etc / rsyslog.conf, lai norādītu rsyslog, kā saglabāt attālos žurnālus, lai to izdarītu rsyslog.conf pievieno rindas:

$ template RemoteLogs, "/ var / log /% HOSTNAME% /.žurnāls "
*.* ?RemoteLogs
& ~

Iziet no izmaiņu saglabāšanas, nospiežot CTRL + X un vēlreiz restartējiet rsyslog serverī:

# sudo pakalpojuma rsyslog restartēšana

Tagad jūs varat redzēt jaunus direktorijus, vienu ar nosaukumu ip-172.31.47.212, kas ir AWS iekšējā saskarne un kas tiek dēvēts par “montsegur”, piemēram, rsyslog klients.

Katalogos varat atrast žurnālus:

Secinājums:

Attālā reģistrēšana piedāvā lielisku problēmas risinājumu, kas var mazināt pakalpojumus, ja servera krātuve kļūst pilna ar žurnāliem, kā jau teikts sākumā, dažos gadījumos tas ir arī nepieciešams, ja sistēma var tikt nopietni bojāta, neļaujot piekļūt žurnāliem , šādos gadījumos attālais žurnāla serveris garantē sysadmin piekļuvi servera vēsturei.

Šī risinājuma ieviešana ir tehniski diezgan vienkārša un pat bez maksas, ņemot vērā, ka nav nepieciešami lieli resursi, un bezmaksas serveri, piemēram, AWS bezmaksas līmeņi, ir piemēroti šim uzdevumam. Ja palielināsiet žurnāla pārsūtīšanas ātrumu, varat atļaut tikai UDP protokolu (neskatoties uz uzticamības zaudēšanu). Rsyslog ir dažas alternatīvas, piemēram: Flume vai Sentry, tomēr rsyslog joprojām ir vispopulārākais rīks starp Linux lietotājiem un sysadmin.

Es ceru, ka šis raksts par Linux žurnālu nosūtīšanu uz attālo serveri jums ir noderīgs.