Protokolldateien sind die Dateien, die Informationen über die Systemaktivitäten wie Autorisierungs- und Zugriffsversuche, Start- und Herunterfahrversuche speichern, Starten und Herunterfahren des Dienstes usw. Es gibt verschiedene Protokolldateien für verschiedene Arten von Aktivitäten. Protokolldateien erleichtern die Fehlerbehebung und Überwachung von Systemaktivitäten. Rsyslog ist ein Open-Source-Programm für Linux-Betriebssysteme, das sowohl als Protokollierungsserver als auch als Client konfiguriert werden kann.
In der heutigen Anleitung werden wir den Rsyslog-Server unter Ubuntu OS einrichten. Wir werden zwei Ubuntu-Rechner verwenden. Auf einem Ubuntu-Computer konfigurieren wir Rsyslog als Protokollierungsserver und auf dem anderen Computer; Wir konfigurieren Rsyslog als Client, der Protokolle an den Rsyslog-Server sendet.
Rsyslog-Server auf Ubuntu konfigurieren
Wir werden Rsyslog auf einem unserer Ubuntu-Rechner konfigurieren, den wir als Protokollierungsserver verwenden möchten. Rsyslog ist auf dem Ubuntu-Server vorinstalliert. Falls es jedoch aus irgendeinem Grund fehlt, können Sie es installieren, indem Sie diesen Befehl ausführen:
$ sudo apt install rsyslog
Während der Installation werden Sie mit j/n aufgefordert Option zum Fortfahren mit der Installation von Rsyslog. Drücken Sie y und dann Enter um fortzufahren.
Führen Sie den folgenden Befehl aus, um die Installation von Rsyslog zu überprüfen und den Status seines Dienstes anzuzeigen:
$ sudo systemctl status rsyslog
Wenn der Dienst eingerichtet ist und ausgeführt wird, sehen Sie die Ausgabe wie im folgenden Screenshot gezeigt.
Nachdem Rsyslog installiert ist und ausgeführt wird, konfigurieren wir es nun als Protokollierungsserver.
Bearbeiten Sie die Rsyslog-Konfigurationsdatei etc/rsyslog.conf:
$ sudo nano /etc/rsyslog.conf
Fügen Sie die folgenden Zeilen in die Rsyslog-Konfigurationsdatei ein:
# Receive syslog over UDP module(load="imudp") input(type="imudp" port="514") # Receive syslog over TCP module(load="imtcp") input(type="imtcp" port="514")
Unten sehen Sie den Screenshot, wie die Konfiguration des Rsyslog-Protokollierungsservers aussehen sollte:
Dann erstellen wir eine Vorlage, die von Rsyslog zum Speichern eingehender Syslog-Nachrichten verwendet wird. Fügen Sie dazu die folgenden Zeilen in die Rsyslog-Konfigurationsdatei ein vor dem Abschnitt GLOBALE RICHTLINIEN:
$template remote-incoming-logs, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
Speichern und schließen Sie dann die Konfigurationsdatei.
Führen Sie nun den folgenden Befehl aus, um den Dienst von Rsyslog neu zu starten:
$ sudo systemctl restart rsyslog
Sie können auch überprüfen, ob Rsyslog den TCP/UDP-Port 514 überwacht, indem Sie den folgenden Befehl verwenden:
$ sudo ss -tunlp | grep 514
Sie sollten die folgende Ausgabe erhalten:
Firewall konfigurieren
Wenn auf Ihrem System die Firewall aktiviert ist, müssen Sie den TCP/UDP-Port 514 öffnen. Dieser Port wird vom Rsyslog-Server zum Empfangen der Protokolle vom Remote-Client verwendet. Führen Sie diese Befehle aus, um den TCP/UDP-Port 514 in der Ubuntu-Firewall zu öffnen.
$ sudo ufw allow 514/tcp
$ sudo ufw allow 514/udp
Laden Sie dann die Firewall neu:
$ sudo ufw reload
Konfigurieren des Rsyslog-Clients auf Ubuntu
Auf dem anderen Ubuntu-System führen wir nun die Konfiguration für den Rsyslog-Client durch. Dieser Client sendet dann seine Protokolle an den Rsyslog-Protokollserver.
Installieren Sie auf dem Ubuntu-Rechner, den Sie als Rsyslog-Client konfigurieren möchten, zuerst Rsyslog (falls noch nicht installiert):
$ sudo apt install rsyslog
Bearbeiten Sie dann die Rsyslog-Konfigurationsdatei mit diesem Befehl:
$ sudo nano /etc/rsyslog.conf
Fügen Sie die folgenden Zeilen am Ende der Rsyslog-Konfigurationsdatei hinzu. Achten Sie darauf, zu ersetzen 192.168.72.204 mit der IP-Adresse Ihres Rsyslog-Protokollierungsservers.
#Send system logs to rsyslog server over RDP *.* @192.168.72.204:514 #Send system logs to rsyslog server over TCP *.* @@192.168.72.204:514 ##Set disk queue to preserve your logs in case rsyslog server is experiencing any downtime
$ActionQueueFileName queue $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1
Unten ist der Screenshot, wie die Rsyslog-Client-Konfiguration aussehen sollte:
Speichern und schließen Sie die Rsyslog-Konfigurationsdatei.
Führen Sie nun den folgenden Befehl aus, um den Dienst von Rsyslog neu zu starten:
$ sudo systemctl restart rsyslog
Sehen Sie sich die Protokolldateien des Clients auf dem Rsyslog-Server an
Sobald Sie mit allen oben beschriebenen Konfigurationen fertig sind, können Sie die Protokolldateien anzeigen, die von den Clients an den Rsyslog-Server gesendet werden. Führen Sie auf Ihrem Rsyslog-Servercomputer den folgenden Befehl im Terminal aus:
$ ls /var/log/
In der Ausgabe des obigen Befehls sehen Sie ein Verzeichnis mit dem gleichen Namen wie der Hostname Ihres Client-Systems (in unserem Beispiel ubuntu2).
Um die Protokolldateien des Client-Rechners anzuzeigen, listen Sie den Inhalt dieses Verzeichnisses auf:
$ sudo ls /var/log/ubuntu2
Das ist alles, was dazu gehört! In diesem Handbuch haben wir behandelt, wie Rsyslog unter Ubuntu OS sowohl als Protokollierungsserver als auch als Client konfiguriert wird, um Protokolle an den Rsyslog-Server zu senden. Wir haben auch behandelt, wie die Protokolle angezeigt werden, die von den Clients an den Protokollierungsserver gesendet werden.