RSYSLOG.Conf File Complete Guide for Linux

Syslog er et UNIX-basert verktøy som Linux bruker for å administrere de lokale loggfilene. Nå bruker de nye Linux -systemene en demon som heter Rsyslog som faktisk er et forbedret verktøy.

RSYSLOG -filen kan brukes til å konfigurere en sentral loggserver, samt for å konfigurere de enkelte klientsystemene til å sende loggfilene sine til loggingsserveren.

RSYSLOG kan installeres på både Red Hat og Ubuntu -distribusjoner. Adiscon Ubuntu -depotet gir de nyeste versjonene av Rsyslog på Ubuntu. Tilsvarende gir Adiscon RPM -depotet de nyeste versjonene av RsySlog for Red Hat/Centos.

For å bruke et system som en loggingsserver, installerer du RSYSLOG -tjenesten på det systemet. Installer også RSYSLOG -tjenesten på systemene som vil sende logger til denne serveren.

Med Rsyslog -demonen kan vi sende logger til eksterne servere. Det er relativt greit å konfigurere RSYSLOG. Loggfilene er sentralisert som hjelper til med arkivering og feilsøkingsprosesser.

Hvorfor er loggfiler viktige?

Loggfiler er i utgangspunktet en uunnværlig del av et serveroppsett. Disse filene brukes i:

1. Feilsøking
2. Systemrevisjon
3. Ytelsesanalyse

Loggfiler er en nøkkelkilde for å samle kritisk informasjon om et system og forskjellige prosesser som kjører på det. Denne informasjonen brukes til revisjon og feilsøking.

Hva vil vi dekke?

I denne opplæringen lærer du om RSYSLOG -tjenesten på Linux.

Velge partisjonen for /var /log

/Etc /rsyslog.Conf inneholder en liste over loggfiler som administreres av Daemon Rsyslogd. /Var/log/katalogen inneholder de fleste av loggfilene. Programmer som Samba, Httpd og andre lagrer også loggene sine i en underkatalog inne i /var /loggen.

Det er en god praksis å montere /var /log -katalogen på en egen partisjon. Dette hjelper til med å unngå en situasjon der de lokale tømmerstokkene okkuperer plassen som deles av rotfilsystemet. Dette er et kritisk viktig trinn i å konfigurere serverne som mottar for mange loggfiler fra flere eksterne systemer.

RSYSLOG -loggingstjenesten

RSYSLOG -applikasjonen hjelper til med å sentralisere loggsamlingen på infrastrukturen din. Denne applikasjonen fungerer parallelt med den såkalte SystemD-Journald. Selv om RSYSLOG-tjenesten fremdeles brukes på Red Hat Systems, blir den nå erstattet med dette nye loggingssystemet, SystemD-Journald.

Systemd-Journald ble introdusert med SystemD i RHEL 7 og fortsatt å brukes med RHEL 8 og 9. RSYSLOG -tjenesten gir bakoverkompatibilitet på nyere RHEL -systemer.

RSYSLOG.Konfigurasjonsfil

La oss nå håndtere den faktiske rsyslog.Conf -fil som ligger på /etc/rsyslog.konf. Denne filen er bakoverkompatibel med syslog.Conf File of the Sysklogd.

Reglene som er spesifisert i denne filen, regulerer hvordan RSYSLOGD tar for seg meldingene. På en generell måte kan man kategorisere meldingene basert på deres kilde, emne (anlegg) og haster (prioritet). Når den er klassifisert, kan en handling tildeles og utføres når en melding kvalifiserer den faste tilstanden.

Denne filen har tre hovedspesifikasjoner: globale direktiver, moduler og regler. Reglerseksjonen omfatter filter- og handlingskomponenter.

Eksempelfilutdrag på RHEL 8:

$ katt /etc /rsyslog.konf
# RSYSLOG -konfigurasjonsfilen
#### Moduler ####
Modul (Load = "Imuxsock" # gir støtte for lokal systemlogging (e.g. via Logger -kommandoen)
# Lokale meldinger hentes gjennom Imjournal nå.
Modul (Load = "Imjournal" # Gir tilgang til SystemD Journal
#### Globale direktiver ####
# Hvor du kan plassere hjelpefiler
Global (WorkDirectory = "/var/lib/rsyslog")
# Bruk standard tidsstempelformat
Modul (last = "Builtin: OMFile" Template = "RSySlog_TraditionalFileFormat")
# Inkluderer alle konfigurasjonsfiler i /etc /rsyslog.d/
inkluderer (file = "/etc/rsyslog.d/*.Conf "Mode =" Valgfritt ")
#### Regler ####
# Logg alle kjernemeldinger til konsollen.

Globale direktiver

Globale direktiver brukes til å konfigurere RSYSLOGD DAEMON. Generelt spesifiserer de en verdi for en bestemt forhåndsdefinert variabel som påvirker funksjonaliteten til rsyslogd eller en regel.

Moduldel

Å legge til utvidelser i rsyslog er enkelt på grunn av sin modulære arkitektur. Når du åpner filen, er det en linje:

modul (last = "iMuxsock") # gir støtte for lokal systemlogging

Hensikten med denne linjen er å rette RsySlog til å laste inn "Imuxsock" -modulen for å motta meldinger gjennom /dev /logg.

Deretter er det en blokk for UDP Syslog -mottakelse:

#Module (Load = "IMUDP")
#Input (type = "IMUDP" port = "514")

Skjønt, disse linjene som begynner med “#” er kommentarer og blir bare ignorert. Men de forteller hvordan de skal konfigurere RSYSLOG -serveren for å motta meldingene på et UDP -nettverk.

Som vanlig laster den første linjen modulen som kalles "IMUDP". Den andre linjen spesifiserer UDP -port 514 som porten som modulen skal lytte til for loggmeldinger. Når du vil bruke denne funksjonen, er det bare å kommentere linjene.

Reglerseksjon

Nederst i konfigurasjonsfilen er det en blokk som inneholder følgende linjer:

# Inkluderer alle konfigurasjonsfiler i /etc /rsyslog.d/
$ IncludeConfig /etc /rsyslog.d/*.konf

Andre filer kan legges til i en RSYSLOG -konfigurasjon, noe som gjør det enkelt å administrere filene, spesielt mens du har tilsyn med et stort nettverk av systemer. Dette direktivet instruerer Rsyslogd om å laste inn alle filer inne i /etc/rsyslog.d.

Velgere og handlinger

For å sende en loggmelding et sted, må vi definere en regel som samsvarer med meldingen. Tenk for eksempel følgende linje fra /etc/syslog.d/50-default.konf:

*.= debug/var/log/debug

Her, den første delen, “*.= debug ”, er en velger. Neste del, “/Var/log/debug”, er veien til stedet der Rsyslogd legger de filtrerte meldingene.

Filtrene en del av en regel velger en del av syslog -meldinger. Handlingsdelen bestemmer hvilken handling som skal utføres med disse meldingene.

Rsyslog har forskjellige måter å filtrere syslog -meldingene basert på de valgte egenskapene. Filtreringsmetodene kan klassifiseres basert på: anlegg/prioritet, eiendom og uttrykk.

Handlingsdelen, som nevnt tidligere, spesifiserer hva du skal gjøre med de tidligere filtrerte meldingene. Handlinger kan lagre syslog -meldingene til loggfilene, overføre syslog -meldingene over et nettverk osv.

Få RSYSLOG -dokumentasjonen

En omfattende dokumentasjon av RSYSLOG -applikasjonen kan sees online kl https: // www.rsyslog.com/doc/. Imidlertid en lokal dokumentasjonspakke som heter RSYSLOG-DOC kan også installeres på systemet ditt.

For å installere denne pakken på RHEL 8, må du ha et AppStream -depot installert og en administrativ tilgang på systemet ditt. Når disse kravene er oppfylt, kjører du bare følgende kommando for å installere denne pakken:

$ yum install rsyslog-doc

For å bekrefte om pakken er installert riktig, kjør følgende kommando:

$ Firefox/usr/share/doc/rsyslog/html/indeks.html &

Redigering av Rsyslog.Konf Fil

Før du redigerer denne filen, kan du ta en sikkerhetskopi slik at vi kan gjenopprette til et trygt punkt hvis noe går galt.

La oss konfigurere denne filen for UDP. Vi åpner nå denne filen og ukompeter linjene som tilsvarer UDP:

# gir UDP syslog -mottakelse
modul (last = "imudp")
input (type = "imudp" port = "514")

Tilsvarende, for å konfigurere denne filen for TCP -mottak, må du ikke ta hensyn til linjene som tilsvarer TCP:

# Gir TCP syslog -mottakelse
modul (last = "IMTCP")
input (type = "imtcp" port = "514"

Konklusjon

Denne opplæringen presenterer en oversikt over RSYSLOG -tjenesten i Linux. Du kan også henvise til hovedsidene du kan utforske på detaljert informasjon om denne tjenesten.