GNU/Linux >> Tutoriels Linux >  >> Debian

Gestion centralisée des logs en installant rsyslog sur Debian 11 !

Bonjour les amis. Dans cet article, nous parlerons un peu de rsyslog sur Debian 11. En plus de cela, nous vous montrerons comment l'installer et le configurer, afin que vous puissiez travailler à partir des clients. Commençons.

Qu'est-ce que rsyslog sur Debian 11 ?

Rapidement, on peut dire que rsyslog est un démon qui se charge de collecter et de centraliser la gestion des logs via les machines clientes.

Habituellement, ces journaux sont situés dans /var/logs/ mais cela fonctionne pour presque tous les répertoires que vous spécifiez dans la configuration.

L'une des caractéristiques frappantes de rsyslog est qu'il est suffisamment polyvalent et robuste pour être utilisé dans des environnements d'entreprise, mais il est également si léger et simple qu'il peut être utilisé sur de petits systèmes.

En plus de cela, nous pouvons choisir de stocker les données dans un fichier texte ou dans un gestionnaire de base de données tel que MariaDB. Il est donc facile de l'utiliser, et aujourd'hui nous allons vous montrer comment le faire.

Installation de rsyslog sur Debian 11 – Configuration du serveur de journalisation

Concernant le serveur, vous pouvez installer le paquet depuis les dépôts officiels Debian 11. Pour cela, une fois connecté au serveur via SSH, vous pouvez le mettre à jour.

sudo apt update
sudo apt upgrade

Ensuite, vous pouvez installer le package en exécutant

sudo apt install rsyslog

Comme Rsyslog fonctionne sur les ports TCP et UDP 514, vous devez vous assurer que ces ports sont ouverts dans le pare-feu.

sudo ufw allow 514/tcp
sudo ufw allow 514/udp

Pour appliquer ces modifications, vous devez redémarrer le pare-feu.

sudo ufw reload

Enfin, vous devez vérifier l'état du service en exécutant

sudo systemctl status rsyslog

De cette façon, nous saurons que rsyslog est installé et en cours d'exécution. Nous devons maintenant le configurer.

Configuration du serveur rsyslog

La configuration principale de rsyslog réside dans le /etc/rsyslog.conf fichier que nous devons modifier. C'est toujours une bonne idée de conserver une copie de l'original avant de faire cela.

sudo cp /etc/rsyslog.conf /etc/rsyslog.conf.bak

Modifiez-le maintenant

sudo nano /etc/rsyslog.conf

Et la première chose que nous devons faire, dans ce fichier, est d'activer les ports sur lesquels l'application va fonctionner.

Ainsi, au début du fichier, décommentez la section suivante.

module(load="imudp")
input(type="imudp" port="514")

module(load="imtcp")
input(type="imtcp" port="514")

En plus de cela, nous devons définir un modèle sur la façon dont rsyslog collectera les journaux des clients. Dans ce cas, à la fin du fichier, ajoutez ces deux lignes.

$template remote-incoming-logs,"https://1118798822.rsc.cdn77.org/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs

Où nous définissons les remote-incoming-logs modèle et les journaux seront stockés dans /var/log et pour les distinguer, nous devons utiliser le nom d'hôte et le nom du programme qui génère le journal.

Cela suffit pour l'instant. Vous pouvez enregistrer vos modifications.

Pour les appliquer, il suffit de redémarrer le service d'application.

sudo systemctl restart rsyslog

Effectuer la configuration sur les clients

La configuration de Rsyslog sur les clients est assez similaire à celle du serveur. Tout d'abord, vous devez installer le package sur votre distribution.

Ensuite, ouvrez les ports TCP et UDP 514 sur le pare-feu.

Et dans le fichier de configuration rsyslog

sudo nano /etc/rsyslog.conf

Ajouter à la fin du fichier la ligne suivante

*.* @rsyslog-ip-address:514
*.* @@rsyslog-ip-address:514

N'oubliez pas que vous devez définir l'adresse IP du serveur Rsyslog. La première ligne fait référence à UDP et la seconde à TCP.

En plus de cela, vous devez ajouter les informations suivantes au fichier.

$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 2g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1

Ces directives sont des options que nous allons paramétrer sur l'envoi des logs.

Enregistrez les modifications et fermez l'éditeur de texte.

Pour appliquer les modifications, redémarrez le service.

sudo systemctl restart rsyslog

Cette configuration est suffisante.

Conclusion

Dans cet article, vous avez appris à configurer rsyslog dans Debian 11. Ainsi, vous pouvez centraliser vos journaux et disposer d'un serveur sur lequel vous pouvez tous les vérifier.

J'espère que cela vous a aidé.

Documentation Rsyslog


Debian

  1. Installer un serveur de journal centralisé avec Rsyslog dans Debian 9

  2. Comment configurer le serveur Rsyslog sur Debian 11

  3. Configurer le serveur Rsyslog centralisé sur CentOS 7

  4. Installation de Webmin dans Debian 8 (Jessie)

  5. Installer TeamPass dans Debian Jessie

7 choses à retenir avant d'installer Debian

Comment se déconnecter de Debian 10

Comment regarder ou surveiller les fichiers journaux dans Debian 10

Installer Asterisk sur Debian

Installation d'OpenVZ + gestion des machines virtuelles via ISPConfig 3 (Debian 6.0)

Comment créer une configuration Rsyslog de journalisation centralisée