Aujourd'hui, nous allons examiner comment configurer une gestion centralisée des journaux pour les serveurs Linux, cela aidera l'administrateur Linux à avoir plusieurs journaux de serveur en un seul endroit. L'administrateur Linux n'est pas obligé de se connecter à chaque serveur pour vérifier les journaux, il peut simplement se connecter au serveur centralisé et commencer à surveiller les journaux.
Étiquettes Linux (auth, cron, ftp, lpr, authpriv, news, mail, syslog, etc ,..) les messages du journal pour indiquer le type de logiciel qui a généré les messages avec sévérité (Alerte, critique, Avertissement, Avis, info, etc ,..).
Vous pouvez trouver plus d'informations sur les étiquettes de message et les niveaux de gravité
Assurez-vous que vous disposez des éléments suivants pour configurer le serveur de journalisation.
Deux serveurs Linux (serveur et client).
serveur.itzgeek.local 192.168.0.105
client.itzgeek.local 192.168.0.104
Configuration du serveur :
Installez le package syslog, si vous ne l'avez pas installé.
[root@server ~]# yum -y install rsyslog
Modifier /etc/rsyslog.conf
[root@server ~]# vi /etc/rsyslog.conf
Décommentez ce qui suit pour permettre au serveur syslog d'écouter sur le port tcp et udp.
De
# Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514
À
# Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
Redémarrez le service syslog
[root@server ~]# service rsyslog restart
Vérifiez l'écoute du serveur syslog.
[root@server ~]# netstat -antup | grep 514 tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 8081/rsyslogd tcp 0 0 :::514 :::* LISTEN 8081/rsyslogd udp 0 0 0.0.0.0:514 0.0.0.0:* 8081/rsyslogd udp 0 0 :::514 :::* 8081/rsyslogd
Configuration client :
Modifier /etc/rsyslog.conf
[root@client ~]# vi /etc/rsyslog.conf
À la fin du fichier, placez la ligne suivante pour pointer le journal des messages du client vers le serveur
*.info;mail.none;authpriv.none;cron.none @192.168.0.105
Vous pouvez soit mentionner le nom d'hôte ou l'adresse IP.
Redémarrer le service syslog
[root@client ~]# service rsyslog restart
Maintenant, tous les journaux de messages sont envoyés au serveur central et il conserve également la copie localement.
Ouverture du port du pare-feu (facultatif) :
La plupart des environnements de production sont protégés par un pare-feu matériel, demandez-leur d'ouvrir le TCP et UDP 514. Vous pouvez vérifier l'ouverture du port en lançant la commande suivante depuis le client.
[root@client ~]# telnet 192.168.0.105 514 Trying 192.168.0.105... Connected to 192.168.0.105. Escape character is '^]'.
S'il ne donne aucune réponse, désactivez le pare-feu sur le client et le serveur.
Test :
Surveillez l'activité du serveur de journalisation, ouvrez le journal des messages.
[root@server ~]# tailf /var/log/messages
Redémarrez maintenant le service xinetd sur le client. Vous pouvez maintenant obtenir le message de redémarrage du service sur le serveur syslog.
Oct 17 15:06:41 client xinetd[4280]: xinetd Version 2.3.14 started with libwrap loadavg labeled-networking options compiled in. Oct 17 15:06:41 client xinetd[4280]: Started working: 0 available services
De cette façon, vous pouvez surveiller les autres journaux tels que les journaux sécurisés, de messagerie, cron, etc.