Hoy veremos cómo configurar la administración centralizada de registros para el servidor Linux. Esto ayudará al administrador de Linux a tener múltiples registros de servidor en un solo lugar. No es necesario que el administrador de Linux inicie sesión en cada servidor para verificar los registros, solo puede iniciar sesión en el servidor centralizado y comenzar a monitorear el registro.
Linux etiqueta (auth, cron, FTP, LPR, authpriv, news, mail, syslog, etc.) los mensajes de registro para indicar el tipo de software que generó los mensajes con gravedad (Alerta, crítica, Advertencia, Aviso, información, etc,..).
Puede encontrar más información sobre las etiquetas de mensajes y los niveles de gravedad
Asegúrese de tener lo siguiente para configurar un servidor de registro.
Dos servidores Linux (servidor y cliente).
servidor.itzgeek.local 192.168.0.10
cliente.itzgeek.local 192.168.0.20
Configuración del servidor Syslog
Instale el paquete Rsyslog, si no lo tiene instalado.
yum -y install rsyslog
Edite el /etc/rsyslog.conf archivo.
vi /etc/rsyslog.conf
TCP o UDP
Rsyslog es compatible con los protocolos UDP y TCP para recibir registros. El protocolo TCP proporciona una transmisión fiable de registros.
UDP
Descomente lo siguiente para permitir que el servidor syslog escuche en el protocolo UDP.
# Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514
PARA:
# Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514
TCP
Descomente lo siguiente para permitir que el servidor syslog escuche en el protocolo TCP.
# Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514
PARA:
# Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
Reinicie el servicio syslog
systemctl restart rsyslog
Verifique el servidor syslog escuchando en el puerto 514.
netstat -antup | grep 514
Salida:
udp 0 0 0.0.0.0:514 0.0.0.0:* 1467/rsyslogd udp6 0 0 :::514 :::* 1467/rsyslogd
Configuración del cliente Syslog
Instale el paquete Rsyslog, si no lo tiene instalado.
yum -y install rsyslog
Edite el /etc/rsyslog.conf archivo.
vi /etc/rsyslog.conf
Al final del archivo, coloque la siguiente línea para apuntar el registro de mensajes del cliente al servidor.
UDP
*.info;mail.none;authpriv.none;cron.none @192.168.0.10:514
TCP
*.info;mail.none;authpriv.none;cron.none @@192.168.0.10:514
Puede usar el nombre de host o la dirección IP.
Reiniciar el servicio syslog
systemctl restart rsyslog
Ahora todos los registros de mensajes se envían al servidor central y también guarda la copia localmente.
Cortafuegos
La mayoría de los entornos de producción están protegidos por un firewall de hardware, pídales que abran TCP y UDP 514.
Si tiene habilitado FirewallD, ejecute el siguiente comando en un servidor para aceptar el tráfico entrante en el puerto UDP/TCP 514.
TCP
firewall-cmd --permanent --add-port=514/tcp firewall-cmd --reload
UDP
firewall-cmd --permanent --add-port=514/udp firewall-cmd --reload
Validar
Vaya al servidor syslog y vea el archivo de registro de mensajes.
tail -f /var/log/messages
Debería ver que los registros del cliente se están grabando en un servidor syslog.
Feb 9 04:26:09 client systemd: Stopping System Logging Service... Feb 9 04:26:09 client rsyslogd: [origin software="rsyslogd" swVersion="8.24.0-41.el7_7.2" x-pid="910" x-info="http://www.rsyslog.com"] exiting on signal 15. Feb 9 04:26:09 client systemd: Stopped System Logging Service. Feb 9 04:26:09 client systemd: Starting System Logging Service... Feb 9 04:26:09 client rsyslogd: [origin software="rsyslogd" swVersion="8.24.0-41.el7_7.2" x-pid="1546" x-info="http://www.rsyslog.com"] start Feb 9 04:26:09 client systemd: Started System Logging Service.
De esta manera, puede monitorear los otros registros como seguro, correo, registros cron, etc.
Conclusión
Eso es todo. Espero que haya configurado con éxito un servidor syslog centralizado en CentOS 7/RHEL 7. También puede probar herramientas de administración de registros de código abierto como ELK stack o Graylog para obtener funciones más avanzadas como la interfaz web, la correlación de eventos de registro, etc.