Rsyslog es un servidor de registro utilizado en sistemas Linux. Es una versión mejorada de Syslog. Rsyslog también admite bases de datos (MySQL, PostgreSQL ) para almacenar registros. Es el servidor de registro predeterminado utilizado desde la versión CentOS/RHEL 6. Rsyslog es una versión mejorada del servicio syslog en Linux. Este artículo es para configurar el servidor de registro centralizado en nuestro entorno de alojamiento.
Este artículo lo ayudará a instalar el servicio Rsyslog en CentOS/RHEL 5 y configurar Rsyslog para enviar todos los registros a un servidor central. Nuestro objetivo principal es que todos nuestros archivos de registro estén en una ubicación desde donde podamos hacer una copia de seguridad de ellos fácilmente o usar cualquier analizador para analizarlos en un solo lugar. No necesitamos configurar una copia de seguridad en cada servidor individualmente.
Paso 1:Instalar el servicio Rsyslog
Rsyslog está instalado de forma predeterminada en los sistemas basados en RHEL desde la versión RHEL 6. Instale el servicio Rsyslog en el sistema de registro central, así como en los sistemas cliente. Use los siguientes comandos para instalar el servicio Rsyslog en una versión anterior de los sistemas RHEL/CentOS.
# yum install rsyslog
Después de instalar, inicie el servicio rsyslog y asegúrese de que syslog esté detenido en el servidor.
# service syslog stop # chkconfig syslog off # service rsyslog start # chkconfig rsyslog on
Paso 2:configurar Rsyslog en el servidor de registro central
Ahora necesitamos configurar Rsyslog en el servidor de registro central para recibir registros de clientes remotos y almacenarlos en diferentes ubicaciones.
Paso 2.1:Permitir SELinux
Si tiene habilitado SELinux en su sistema, use el siguiente comando para habilitar el tráfico de rsyslog en el puerto 514.
# semanage -a -t syslogd_port_t -p udp 514
Paso 2.2:Configuración de la ubicación del archivo de registro
Ahora edite el archivo de configuración de Rsyslog y configure las ubicaciones para generar archivos de registro en el sistema.
# vim /etc/rsyslog.conf
y agregue las siguientes líneas al final del archivo.
$template TmplAuth, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log" authpriv.* ?TmplAuth *.info,mail.none,authpriv.none,cron.none ?TmplMsg
Paso 2.3:habilitar módulo y protocolo UDP
También elimine el comentario de las siguientes líneas (elimine el número inicial) en el archivo de configuración rsyslog para habilitar UDP.
$ModLoad imudp $UDPServerRun 514
Paso 2.4:Acceso abierto en el cortafuegos
Si está utilizando iptables para proteger su sistema, debe agregar la siguiente regla para abrir el puerto
# iptables -A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT
Paso 2.5:reiniciar Rsyslog
Después de realizar los cambios anteriores en el servidor central de Rsyslog, reinicie el servicio con el siguiente comando.
# service rsyslog restart
Paso 3:configurar Rsyslog en nodos de cliente
Después de configurar el servidor centralizado de Rsyslog, configuremos el sistema del cliente para enviar los registros al servidor central de Rsyslog. Inicie sesión en cada nodo de cliente y agregue la siguiente línea al final del archivo
# vim /etc/rsyslog.conf
agregue la línea a continuación, cambie el nombre de host o la ip con la ip/nombre de host de su sistema Rsyslog central.
*.* @192.168.1.254:514 [or ] *.* @logserver.example.com:514
y reinicie el servicio rsyslog usando el siguiente comando.
# service rsyslog restart
Y la configuración de su servidor de registro centralizado se completó con éxito.