Syslog Tutorial

“Syslog er en måte å konsolidere logger fra forskjellige systemer til en ekstern syslog -server. Syslog -serveren har tre nøkkelkomponenter. Den første er en lytter som bruker UDP over port 514 for å samle syslog -data. Neste er databasen som lagrer de genererte syslog -dataene, og til slutt styring og filtreringsprogramvare som tillater filtrering av syslog -data for rask feilsøking.

Som systemadministrator er det å forstå hvordan syslog fungerer og hvordan du konfigurerer klientmaskiner for å kanalisere syslog -dataene sine til den eksterne serveren. Denne guiden diskuterer syslog i Linux og tilbyr trinn for konsolidering av logger til en ekstern maskin.”

Forståelse av syslog

Syslog er en protokoll som kommuniserer ved hjelp av port 514 via UDP og lar verter overføre logger til syslog -servere over IP -nettverkene. Arbeidet til Syslog -serveren er å overvåke og svare på syslogvarsler den mottar.

Gjennom dette kan en administrator ha sentral kontroll over logger fra forskjellige klienter, slik at de raskt kan spore en feil i en klients maskin, og, basert på loggmeldingen generert, feilsøker den.

Syslog -klientene genererer syslog -meldinger som de sender til syslog -serveren. Meldingen har tre nøkkeldeler.

1. Prioritet - Det representerer meldingens alvorlighetsgrad og anlegg. Prioritetsverdien dikterer prioriteten til den gitte loggen. Ved å bruke den kan du filtrere loggene basert på prioriteringsverdien.
2. Overskrift - Det representerer tidsstempel for loggen og navnet på vert/klientmaskin som sender loggmeldingen.
3. Beskjed - Det representerer den faktiske loggmeldingen som en administrator vil se når du feilsøker en feil. Meldingen inneholder detaljer som verts -IP -adresser, alvorlighetsgrad og hendelsesmelding.

La oss ha et eksempel på en syslog -melding og identifisere dens forskjellige deler.

<34> 2 2022-10-3T10: 30: 35.004Z Linuxhint Su - Id12 - Bom'su Root 'mislyktes for Linuxhint på/dev/pts/4

Ovenstående vil vi starte fra venstre. De 34 representerer prioriteringsverdien for meldingen. 2 er versjonsnummeret for loggmeldingen. Ved siden av er det ISO tidsstempel, etterfulgt av Vertsnavn. Deretter har vi det spesifikke applikasjon som utløste feilen og dens PID. Til slutt har vi arrangementets melding -ID og loggmeldingen.

Arbeider med syslog

Hvert system genererer logger for hendelser som forårsaker en feil, for eksempel tilfeldig lukking av en applikasjon. Loggene for den lokale maskinen blir lagret i /var/log, og du kan liste innholdet for å se de forskjellige

logg filer og kataloger for systemet ditt ved å bruke ls kommando.

Du vil merke deg i bildet ovenfor at vi har kalt loggfilen syslog. Den inneholder loggene for systemet ditt; I dette tilfellet er det for Ubuntu/Debian Systems. Til Rød hatt, kan du finne meldinger i stedet for syslog.

For å se loggene for systemet, åpne loggfilen i sanntid ved å bruke halekommando. For Debian/Ubuntu, bruk kommandoen nedenfor.

$ sudo hale -f/var/log/syslog

For klientmaskiner er reglene for hvor du kan sende sysloggen inneholdt i rsyslog konfigurasjonsfil. Du må redigere denne konfigurasjonsfilen for å angi en maskin for å overføre loggfilene sine til en gitt syslog -server.

Arbeide med RSYSLOG -konfigurasjonsfilen

Du kan se denne konfigurasjonsfilen ved hjelp av en valgt redigering. La oss åpne den ved hjelp av Nano redaktør.

$ sudo nano /etc /rsyslog.konf

Nedenfor er hvordan konfigurasjonsfilen ser ut.

Eventuelle regler som er definert for din syslog vil være inneholdt i denne filen, inkludert syslog -serveren og dens IP -adresse. La oss opprette en syslog -server i en ekstern maskin og overføre loggene fra vår klientmaskin.

Konfigurere en syslog -server

For dette eksemplet bruker vi Ubuntu 22.04 som vår server.

Først må du sørge for at du har rsyslog installert ved å sjekke versjonen. Hvis ikke installert, installer den med APT.

$ rsyslogd -v

Den neste tingen er å åpne RSYSLOG -konfigurasjonsfilen ved hjelp av Nano Editor.

$ sudo nano /etc /rsyslog.konf

Finn modulen og inngangen for TCP. Neste, ukommentar dem ved å fjerne # og legge til linjen nedenfor for å få konfigurasjonsfilen til å virke som den i bildet nedenfor.

$ mal filnavn, ”/var/log/%vertsnavn%/syslog.Logg"
*.* ?FILNAVN

Når du har redigert konfigurasjonsfilen, må du starte på nytt rsyslog

$ sudo SystemCTL RESTART RSYSLOG.service

Det siste trinnet er å bekrefte at Rsyslog er aktiv og lytter på UDP -port 514. Bruk kommandoen nedenfor for å bekrefte.

$ sudo netstat -pnlt

Konfigurere klienten

Åpne klientmaskinen og bekrefte den har rsyslog Ved å sjekke versjonen.

Deretter åpner du RSYSLOG -konfigurasjonsfilen.

$ sudo nano /etc /rsyslog.konf

Når den åpnes, legg til serverens IP -adresse ved å bruke formatet nedenfor.

*.* @@: 514

Start på nytt og aktiver RSYSLOG

$ sudo SystemCTL RESTART RSYSLOG
$ sudo systemctl aktiver RSYSLOG

La oss teste syslog ved å logge en tilfeldig melding som skal reflektere over klient Syslog -serveren.

Åpne den eksterne klienten og se syslog for klienten i sanntid. Fra bildet nedenfor kan vi se den loggede meldingen fra klienten som bekrefter at syslog -ekstern server fungerer.

Pakk opp

Denne guiden har presentert en praktisk opplæring om å komme i gang med syslog. Vi har sett hvordan du kan lese en syslog-melding og konfigurere en klient-serverarkitektur for syslog. Det er det.