Protokolldateien sind die Dateien, die Informationen über die Systemaktivitäten wie Autorisierungs- und Zugriffsversuche, Versuche zum Starten und Herunterfahren, Starten und Herunterfahren von Diensten usw. enthalten. Es gibt verschiedene Protokolldateien für verschiedene Arten von Aktivitäten. Protokolldateien erleichtern die Fehlerbehebung und Überwachung von Systemaktivitäten. Rsyslog ist ein Open-Source-Programm für Linux-Betriebssysteme, das sowohl als Protokollierungsserver als auch als Client konfiguriert werden kann.
Hier bei LinuxAPT helfen wir unseren Kunden im Rahmen unserer Server Management Services regelmäßig dabei, entsprechende Rsyslog-Abfragen durchzuführen.
In diesem Zusammenhang werden wir uns mit der Einrichtung des Rsyslog-Servers unter Ubuntu OS 20.04 unter Verwendung von zwei Ubuntu-Rechnern befassen. Auf einem Ubuntu-Computer konfigurieren wir Rsyslog als Protokollierungsserver und auf dem anderen Computer; Wir konfigurieren Rsyslog als Client, der Protokolle an den Rsyslog-Server sendet.
Wie installiere ich Rsyslog auf Ubuntu 20.04 LTS Focal Fossa?
1. Systemaktualisierung durchführen
Stellen Sie zunächst sicher, dass alle Ihre Systempakete auf dem neuesten Stand sind, indem Sie die folgenden apt-Befehle im Terminal ausführen:
$ sudo apt update
$ sudo apt upgrade
2. Rsyslog auf dem System installieren
Standardmäßig ist Rsyslog jetzt im Ubuntu-Basis-Repository verfügbar. Jetzt führen wir den folgenden Befehl aus, um das Rsyslog-Serverpaket auf Ihrem System zu installieren:
$ sudo apt install rsyslog
Sobald die Installation abgeschlossen ist, starten und aktivieren Sie den Rsyslog-Dienst:
$ sudo systemctl start rsyslog
$ sudo systemctl enable rsyslog
$ sudo systemctl status rsyslog
Führen Sie den folgenden Befehl aus, um die Installation von Rsyslog zu überprüfen und den Status seines Dienstes anzuzeigen:
$ sudo systemctl status rsyslog
Wie konfiguriere ich Rsyslog Server auf Ubuntu?
1. Rsyslog konfigurieren
Nachdem Rsyslog installiert ist und ausgeführt wird, konfigurieren wir es nun als Protokollierungsserver.
Bearbeiten Sie die Rsyslog-Konfigurationsdatei etc/rsyslog.conf:
$ sudo nano /etc/rsyslog.conf
Fügen Sie die folgenden Zeilen in die Rsyslog-Konfigurationsdatei ein:
# Receive syslog over UDP
module(load="imudp")
input(type="imudp" port="514")
# Receive syslog over TCP
module(load="imtcp")
input(type="imtcp" port="514")
Dann erstellen wir eine Vorlage, die von Rsyslog zum Speichern eingehender Syslog-Nachrichten verwendet wird. Fügen Sie dazu die folgenden Zeilen in der Rsyslog-Konfigurationsdatei vor dem Abschnitt GLOBAL DIRECTIVES hinzu:
$template remote-incoming-logs, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
Speichern und schließen Sie dann die Konfigurationsdatei.
Führen Sie nun den folgenden Befehl aus, um den Dienst von Rsyslog neu zu starten:
$ sudo systemctl restart rsyslog
Sie können auch überprüfen, ob Rsyslog den TCP/UDP-Port 514 überwacht, indem Sie den folgenden Befehl verwenden:
$ sudo ss -tunlp | grep 514
2. Firewall konfigurieren
Wenn auf Ihrem System die Firewall aktiviert ist, müssen Sie den TCP/UDP-Port 514 öffnen. Dieser Port wird vom Rsyslog-Server zum Empfangen der Protokolle vom Remote-Client verwendet. Führen Sie diese Befehle aus, um den TCP/UDP-Port 514 in der Ubuntu-Firewall zu öffnen:
$ sudo ufw allow 514/tcp
$ sudo ufw allow 514/udp
Laden Sie dann die Firewall neu:
$ sudo ufw reload
Wie konfiguriere ich den Rsyslog-Client auf Ubuntu?
Auf dem anderen Ubuntu-System führen wir nun die Konfiguration für den Rsyslog-Client durch. Dieser Client sendet dann seine Protokolle an den Rsyslog-Protokollserver.
Installieren Sie auf dem Ubuntu-Rechner, den Sie als Rsyslog-Client konfigurieren möchten, zuerst Rsyslog (falls noch nicht installiert):
$ sudo apt install rsyslog
Bearbeiten Sie dann die Rsyslog-Konfigurationsdatei mit diesem Befehl:
$ sudo nano /etc/rsyslog.conf
Fügen Sie die folgenden Zeilen am Ende der Rsyslog-Konfigurationsdatei hinzu. Stellen Sie sicher, dass Sie 192.168.72.201 durch die IP-Adresse Ihres Rsyslog-Protokollierungsservers ersetzen:
#Send system logs to rsyslog server over RDP
*.* @192.168.72.201:514
#Send system logs to rsyslog server over TCP
*.* @@192.168.72.201:514
##Set disk queue to preserve your logs in case rsyslog server is experiencing any downtime
$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
Speichern und schließen Sie die Rsyslog-Konfigurationsdatei.
Führen Sie nun den folgenden Befehl aus, um den Dienst von Rsyslog neu zu starten:
$ sudo systemctl restart rsyslog
Wie kann ich die Protokolldateien des Clients im Rsyslog-Server anzeigen?
Sobald Sie mit allen oben beschriebenen Konfigurationen fertig sind, können Sie die Protokolldateien anzeigen, die von den Clients an den Rsyslog-Server gesendet werden. Führen Sie auf Ihrem Rsyslog-Servercomputer den folgenden Befehl im Terminal aus:
$ ls /var/log/
In der Ausgabe des obigen Befehls sehen Sie ein Verzeichnis mit dem gleichen Namen wie der Hostname Ihres Client-Systems.
Um die Protokolldateien des Client-Rechners anzuzeigen, listen Sie den Inhalt dieses Verzeichnisses auf:
$ sudo ls /var/log/directory