Tutorial syslog

“Syslog è un modo per consolidare i registri da vari sistemi a un server syslog remoto. Il server syslog ha tre componenti chiave. Il primo è un ascoltatore che utilizza UDP sulla porta 514 per raccogliere dati syslog. Il prossimo è il database che memorizza i dati syslog generati e, infine, il software di gestione e filtraggio che consente di filtrare i dati syslog per una rapida risoluzione dei problemi.

Come amministratore di sistema, capire come funziona syslog e come configurare le macchine client per incanalare i loro dati syslog sul server remoto è utile. Questa guida discute syslog in Linux e offre passaggi per il consolidamento dei registri a una macchina remota."

Comprensione di syslog

Syslog è un protocollo che comunica usando la porta 514 tramite UDP e consente agli host di trasmettere registri ai server syslog tramite le reti IP. Il lavoro del server syslog è monitorare e rispondere alle notifiche syslog che riceve.

Attraverso questo, un amministratore può avere il controllo centrale dei registri di vari client, in modo che possano tracciare rapidamente un errore nella macchina di un client e, in base al messaggio di registro generato, risolverlo.

I client syslog generano messaggi syslog che inviano al server syslog. Il messaggio ha tre parti chiave.

1. Priorità - Rappresenta la gravità e la struttura del messaggio. Il valore prioritario determina la priorità del registro dato. Usandolo, è possibile filtrare i registri in base al valore prioritario.
2. Intestazione - Rappresenta il timestamp per il registro e il nome della macchina host/client che invia il messaggio di registro.
3. Messaggio - Rappresenta il messaggio di registro effettivo che un amministratore visualizzerà durante la risoluzione dei problemi di un errore. Il messaggio include dettagli come indirizzi IP host, gravità e messaggio dell'evento.

Facciamo un esempio di un messaggio syslog e identificiamo le sue varie parti.

<34> 2 2022-10-3t10: 30: 35.004Z Linuxhint SU - ID12 - ROOT BOM'SU 'non riuscita per LinuxHint ON/Dev/PTS/4

In quanto sopra, inizieremo da sinistra. IL 34 rappresenta il valore prioritario per il messaggio. 2 è il numero di versione per il messaggio di registro. Accanto ad esso c'è il ISO Timestamp, seguito dal Nome host. Successivamente, abbiamo lo specifico applicazione Ciò ha attivato l'errore e il suo Pid. Infine, abbiamo l'ID messaggio dell'evento e il messaggio di registro.

Lavorare con syslog

Ogni sistema genera registri per eventi che causano un errore, come la chiusura casuale di un'applicazione. I registri per la macchina locale vengono archiviati in /var/log, e puoi elencare i contenuti per vedere i vari

Registra file e directory per il tuo sistema utilizzando il comando ls.

Noterai nell'immagine sopra che abbiamo il file di registro chiamato syslog. Contiene i registri per il tuo sistema; In questo caso, è per i sistemi Ubuntu/Debian. Per Cappello rosso, Puoi trovare messaggi invece di syslog.

Per visualizzare i registri per il sistema, aprire il file di registro in tempo reale utilizzando il comando di coda. Per Debian/Ubuntu, usa il comando di seguito.

$ sudo tail -f/var/log/syslog

Per le macchine client, le regole per dove inviare il syslog sono contenute nel rsyslog file di configurazione. È necessario modificare questo file di configurazione per impostare una macchina per trasmettere i suoi file di registro su un determinato server syslog.

Lavorare con il file di configurazione RSYSLOG

È possibile visualizzare questo file di configurazione utilizzando un editor di scelta. Apriamolo usando il nano editore.

$ sudo nano /etc /rsyslog.conf

Di seguito è riportato come appare il file di configurazione.

Tutte le regole definite per il tuo syslog saranno contenute in questo file, incluso il server syslog e il suo indirizzo IP. Creiamo un server syslog in una macchina remota e trasmettiamo i registri dalla nostra macchina client.

Configurazione di un server syslog

Per questo esempio, stiamo usando Ubuntu 22.04 come il nostro server.

Innanzitutto, assicurati di avere il rsyslog installato controllando la sua versione. Se non installato, installalo utilizzando APT.

$ rsyslogd -v

La prossima cosa è aprire il file di configurazione RSYSLOG utilizzando l'Editor Nano.

$ sudo nano /etc /rsyslog.conf

Individua il modulo e l'ingresso per TCP. Successivamente, rimuoveli rimuovendo il # e aggiungere la riga seguente per far apparire il file di configurazione come quello nell'immagine seguente.

FileName $ Template ”,/var/log/%hostname%/syslog.tronco d'albero"
*.* ?NOME DEL FILE

Dopo aver modificato il file di configurazione, riavvia il rsyslog

$ sudo systemctl riavvia rsyslog.servizio

L'ultimo passo è verificare che RSYSLOG sia attivo e ascolta sulla porta UDP 514. Utilizzare il comando seguente per verificare.

$ sudo netstat -pnlt

Configurazione del client

Apri la macchina client e verificarlo rsyslog controllando la versione.

Successivamente, aprire il file di configurazione RSYSLOG.

$ sudo nano /etc /rsyslog.conf

Una volta che si aprirà, aggiungi l'indirizzo IP del tuo server utilizzando il formato di seguito.

*.* @@: 514

Riavvia e abilita il RSYSLOG

$ sudo systemctl riavvia rsyslog
$ sudo systemctl abilita rsyslog

Proviamo il syslog registrando un messaggio casuale che dovrebbe riflettere sul server syslog client.

Apri il client remoto e visualizza il syslog per il client in tempo reale. Dall'immagine qui sotto, possiamo vedere il messaggio registrato dal client che conferma che il nostro server remoto syslog sta funzionando.

Incartare

Questa guida ha presentato un tutorial pratico sull'inizio con syslog. Abbiamo visto come leggere un messaggio syslog e configurare un'architettura client-server per syslog. Questo è tutto.