GNU/Linux >> LINUX-Kenntnisse >  >> Debian

So richten Sie den Rsyslog-Server unter Debian 11 ein

Rsyslog ist eine kostenlose Open-Source-Protokollierungssoftware, die alle Protokolldateien über das IP-Netzwerk an den zentralen Protokollserver weiterleitet. Es hilft Systemadministratoren, alle Server zentral im Auge zu behalten. Rsyslog arbeitet in einem Client/Server-Modell, es empfängt Protokolle vom Remote-Client auf Port 514 über das TCP/UDP-Protokoll.

In diesem Beitrag zeigen wir Ihnen, wie Sie den Rsyslog-Server unter Debian 11 einrichten.

Voraussetzungen

  • Zwei Server mit Debian 11.
  • Auf dem Server ist ein Root-Passwort konfiguriert.

Rsyslog installieren

Zuerst müssen Sie das Rsyslog-Serverpaket auf dem Servercomputer installieren. Sie können es mit dem folgenden Befehl installieren:

apt-get install rsyslog -y

Überprüfen Sie nach der Installation den Rsyslog-Status mit dem folgenden Befehl:

systemctl status rsyslog

Sie sollten die folgende Ausgabe sehen:

? rsyslog.service - Systemprotokollierungsdienst Geladen:geladen (/lib/systemd/system/rsyslog.service; aktiviert; Herstellervoreinstellung:aktiviert) Aktiv:aktiv (läuft) seit Sun 2021-10-03 13:35:32 UTC; vor 1h 44minTriggeredBy:? syslog.socket Docs:man:rsyslogd(8) man:rsyslog.conf(5) https://www.rsyslog.com/doc/ Main PID:283 (rsyslogd) Tasks:4 (limit:2341) Memory:5.0M CPU:90ms CGroup:/system.slice/rsyslog.service ??283 /usr/sbin/rsyslogd -n -iNONEOct 03 13:35:32 debian11 systemd[1]:Starting System Logging Service ... Oct 03 13:35 :32 debian11 rsyslogd[283]:imuxsock:Erworbener UNIX-Socket '/run/systemd/journal/syslog' (fd 3) von systemd. [v8.2102.0]3. Oktober 13:35:32 debian11 rsyslogd[283]:[origin software="rsyslogd" swVersion="8.2102.0" x-pid="283" x-info="https://www. rsyslog.com"] startOct 03 13:35:32 debian11 systemd[1]:Started System Logging Service.Oct 03 13:35:34 debian11 systemd[1]:rsyslog.service:Signal SIGHUP an Hauptprozess 283 (rsyslogd) gesendet auf Client-Anfrage. Okt. 03 13:45:33 debian11 rsyslogd[283]:[origin software="rsyslogd" swVersion="8.2102.0" x-pid="283" x-info="https://www.rsyslog .com"] rsyslog>

Rsyslog konfigurieren

Als Nächstes müssen Sie Rsyslog so konfigurieren, dass es im Servermodus ausgeführt wird. Sie können dies tun, indem Sie die Rsyslog-Hauptkonfigurationsdatei bearbeiten:

nano /etc/rsyslog.conf

Entkommentieren Sie die folgenden Zeilen:

# stellt UDP-Syslog-Empfangsmodul(load="imudp")input(type="imudp" port="514")# stellt TCP-Syslog-Empfangsmodul(load="imtcp")input(type="imtcp" port=" 514")

Fügen Sie als Nächstes die folgenden Zeilen hinzu, um die Vorlage zum Speichern eingehender Protokolle von Client-Systemen zu definieren:

$template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"*.* ?remote-incoming-logs

Speichern und schließen Sie die Datei und starten Sie dann den Rsyslog-Dienst neu, um die Änderungen zu übernehmen:

systemctl startet rsyslog neu

An diesem Punkt wird Rsyslog gestartet und lauscht auf Port 514. Sie können dies mit dem folgenden Befehl überprüfen:

ss -tunlp | grep 514

Sie sollten die folgende Ausgabe sehen:

udp UNCONN 0 0 0.0.0.0:514 0.0.0.0:* Benutzer:(("rsyslogd",pid=26276,fd=6)) udp UNCONN 0 0 [::]:514 [::]:* Benutzer:(("rsyslogd",pid=26276,fd=7)) tcp LISTEN 0 25 0.0.0.0:514 0.0.0.0:* Benutzer:(("rsyslogd",pid=26276,fd=8)) tcp LISTEN 0 25 [::]:514 [::]:* Benutzer:(("rsyslogd",pid=26276,fd=9))

Firewall für Rsyslog konfigurieren

Als nächstes müssen Sie Port 514 durch die UFW-Firewall zulassen. Sie können es mit dem folgenden Befehl zulassen:

ufw zulassen 514/tcp
ufw zulassen 514/udp

Laden Sie als Nächstes die Firewall neu, um die Änderungen zu übernehmen:

ufw neu laden

Rsyslog-Client konfigurieren

Als Nächstes müssen Sie den Rsyslog-Client konfigurieren, um die Protokolldateien an den Rsyslog-Server zu senden. Sie können dies tun, indem Sie die Rsyslog-Hauptkonfigurationsdatei bearbeiten.

nano /etc/rsyslog.conf

Fügen Sie am Ende der Datei die folgenden Zeilen hinzu:

#Aktivieren Sie das Senden von Systemprotokollen über UDP an den rsyslog-Server*.* @rsyslog-server-ip:514#Aktivieren Sie das Senden von Systemprotokollen über TCP an den rsyslog-Server*.* @@rsyslog-server-ip:514

Fügen Sie außerdem die folgenden Zeilen hinzu, um die Festplattenwarteschlange festzulegen, wenn der rsyslog-Server heruntergefahren wird:

$ActionQueueFileName queue$ActionQueueMaxDiskSpace 1g$ActionQueueSaveOnShutdown on$ActionQueueType LinkedList$ActionResumeRetryCount -1

Speichern und schließen Sie die Datei und starten Sie dann den Rsyslog-Dienst neu, um die Änderungen zu übernehmen:

systemctl startet rsyslog neu

Protokolldatei des Clients überprüfen

Alle Protokolldateien des Clients werden im Verzeichnis /var/log auf dem Servercomputer gespeichert.

Sie können dies mit dem folgenden Befehl überprüfen:

ls -l /var/log/

Sie sollten die Protokolldatei des Clients sehen, die dem Hostnamen des Clientsystems entspricht:

alternatives.log auth.log.2.gz daemon.log debian11 dpkg.log kern.log.1 messages.1 private syslog.3.gzclientpc auth.log.3.gz daemon.log.1 debug dpkg.log .1 kern.log.2.gz messages.2.gz runit syslog.4.gzapt btmp daemon.log.3.gz debug.2.gz icinga2 kern.log.4.gz messages.4.gz syslogauth.log. 1 csm.log dbconfig-common debug.4.gz kern.log-Meldungen ntpstats syslog.2.gz

Wie Sie sehen können, clientpc ist das Log-Verzeichnis des Client-Systems.

Schlussfolgerung

In der obigen Anleitung haben wir erklärt, wie Sie den Rsyslog-Server und -Client unter Debian 11 einrichten. Sie können Ihre Clients jetzt von der zentralen Stelle aus überwachen. Fühlen Sie sich frei, mich zu fragen, wenn Sie irgendwelche Fragen haben.


Debian

  1. So richten Sie den Rsyslog-Server unter Ubuntu 18.04 LTS ein

  2. So installieren Sie Redis Server unter Debian 11

  3. So installieren Sie MySQL 8.0 / 5.7 unter Debian 11 / Debian 10

  4. So richten Sie einen zentralen Protokollierungsserver mit Rsyslog ein

  5. Rsyslog-Server auf Ubuntu 20.04 einrichten - Wie geht das?

So installieren Sie MySQL 8 auf Debian 10

So richten Sie den NFS-Server unter Debian 9 / Ubuntu 16.04 / LinuxMint 18 ein

So richten Sie den Rsyslog-Server unter Ubuntu ein

So richten Sie Rsyslog Server Debian 10/11 ein

So richten Sie den OpenLDAP-Server unter Debian 10 ein

Gewusst wie:Ersteinrichtung des Debian 8.2-Servers