Heute werden wir untersuchen, wie eine zentralisierte Protokollverwaltung für Linux-Server eingerichtet wird. Dies hilft dem Linux-Administrator, mehrere Serverprotokolle an einem einzigen Ort zu haben. Der Linux-Administrator muss sich nicht bei jedem Server anmelden, um die Protokolle zu überprüfen, er kann sich einfach beim zentralisierten Server anmelden und mit der Überwachung der Protokolle beginnen.
Linux kennzeichnet (auth, cron, ftp, lpr, authpriv, news, mail, syslog usw.) die Protokollmeldungen, um den Typ der Software anzugeben, die die Meldungen mit Schweregrad generiert hat (Alert, Critical, Warning, Notice, Info, etc ,..).
Weitere Informationen zu Nachrichtenlabels und Schweregraden finden Sie hier
Stellen Sie sicher, dass Sie Folgendes haben, um den Protokollserver einzurichten.
Zwei Linux-Server (Server und Client).
server.itzgeek.local 192.168.0.105
client.itzgeek.local 192.168.0.104
Server-Setup:
Installieren Sie das Syslog-Paket, wenn Sie es nicht installiert haben.
[root@server ~]# yum -y install rsyslog
Bearbeiten Sie /etc/rsyslog.conf
[root@server ~]# vi /etc/rsyslog.conf
Kommentieren Sie Folgendes nicht aus, damit der Syslog-Server den TCP- und UDP-Port abhören kann.
Von
# Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514
An
# Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
Starten Sie den Syslog-Dienst neu
[root@server ~]# service rsyslog restart
Überprüfen Sie, ob der Syslog-Server lauscht.
[root@server ~]# netstat -antup | grep 514 tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 8081/rsyslogd tcp 0 0 :::514 :::* LISTEN 8081/rsyslogd udp 0 0 0.0.0.0:514 0.0.0.0:* 8081/rsyslogd udp 0 0 :::514 :::* 8081/rsyslogd
Client-Setup:
Bearbeiten Sie /etc/rsyslog.conf
[root@client ~]# vi /etc/rsyslog.conf
Platzieren Sie am Ende der Datei die folgende Zeile, um das Nachrichtenprotokoll des Clients auf den Server zu verweisen
*.info;mail.none;authpriv.none;cron.none @192.168.0.105
Sie können entweder den Hostnamen oder die IP-Adresse angeben.
Starten Sie den Syslog-Dienst neu
[root@client ~]# service rsyslog restart
Jetzt werden alle Nachrichtenprotokolle an den zentralen Server gesendet und die Kopie wird auch lokal aufbewahrt.
Firewall-Port öffnen (optional):
Fast alle Produktionsumgebungen sind durch eine Hardware-Firewall geschützt. Bitten Sie sie, TCP &UDP 514 zu öffnen. Sie können die Portöffnung überprüfen, indem Sie den folgenden Befehl vom Client aus ausführen.
[root@client ~]# telnet 192.168.0.105 514 Trying 192.168.0.105... Connected to 192.168.0.105. Escape character is '^]'.
Wenn es keine Antwort gab, deaktivieren Sie die Firewall sowohl auf dem Client als auch auf dem Server.
Test:
Überwachen Sie die Aktivität des Protokollservers, öffnen Sie das Nachrichtenprotokoll.
[root@server ~]# tailf /var/log/messages
Starten Sie jetzt den xinetd-Dienst auf dem Client neu. Jetzt können Sie die Meldung zum Neustart des Dienstes auf dem Syslog-Server abrufen.
Oct 17 15:06:41 client xinetd[4280]: xinetd Version 2.3.14 started with libwrap loadavg labeled-networking options compiled in. Oct 17 15:06:41 client xinetd[4280]: Started working: 0 available services
Auf diese Weise können Sie die anderen Protokolle wie Secure-, Mail-, Cron-Protokolle usw. überwachen.