Aujourd'hui, nous verrons comment configurer la gestion centralisée des journaux pour le serveur Linux. Cela aidera l'administrateur Linux à avoir plusieurs journaux de serveur en un seul endroit. L'administrateur Linux n'est pas obligé de se connecter à chaque serveur pour vérifier les journaux, il peut simplement se connecter au serveur centralisé et commencer à surveiller le journal.
Étiquettes Linux (auth, cron, FTP, LPR, authpriv, news, mail, syslog, etc,..) les messages du journal pour indiquer le type de logiciel qui a généré les messages avec sévérité (Alerte, critique, Avertissement, Avis, info, etc..).
Vous pouvez trouver plus d'informations sur les étiquettes de message et les niveaux de gravité
Assurez-vous de disposer des éléments suivants pour configurer un serveur de journalisation.
Deux serveurs Linux (serveur et client).
server.itzgeek.local 192.168.0.10
client.itzgeek.local 192.168.0.20
Configuration du serveur Syslog
Installez le package Rsyslog, si vous ne l'avez pas installé.
yum -y install rsyslog
Modifiez le /etc/rsyslog.conf fichier.
vi /etc/rsyslog.conf
TCP ou UDP
Rsyslog prend en charge les protocoles UDP et TCP pour la réception des journaux. Le protocole TCP assure une transmission fiable des journaux.
UDP
Décommentez ce qui suit pour permettre au serveur syslog d'écouter sur le protocole UDP.
DE :
# Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514
À :
# Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514
TCP
Décommentez ce qui suit pour permettre au serveur syslog d'écouter sur le protocole TCP.
DE :
# Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514
À :
# Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
Redémarrez le service syslog
systemctl restart rsyslog
Vérifiez le serveur syslog à l'écoute sur le port 514.
netstat -antup | grep 514
Sortie :
udp 0 0 0.0.0.0:514 0.0.0.0:* 1467/rsyslogd udp6 0 0 :::514 :::* 1467/rsyslogd
Configuration du client Syslog
Installez le package Rsyslog, si vous ne l'avez pas installé.
yum -y install rsyslog
Modifiez le /etc/rsyslog.conf fichier.
vi /etc/rsyslog.conf
À la fin du fichier, placez la ligne suivante pour pointer le journal des messages du client vers le serveur.
UDP
*.info;mail.none;authpriv.none;cron.none @192.168.0.10:514
TCP
*.info;mail.none;authpriv.none;cron.none @@192.168.0.10:514
Vous pouvez utiliser le nom d'hôte ou l'adresse IP.
Redémarrer le service syslog
systemctl restart rsyslog
Maintenant, tous les journaux de messages sont envoyés au serveur central et il conserve également la copie localement.
Pare-feu
La plupart des environnements de production sont protégés par un pare-feu matériel, demandez-leur d'ouvrir le TCP &UDP 514.
Si vous avez activé FirewallD, exécutez la commande suivante sur un serveur afin d'accepter le trafic entrant sur le port UDP/TCP 514.
TCP
firewall-cmd --permanent --add-port=514/tcp firewall-cmd --reload
UDP
firewall-cmd --permanent --add-port=514/udp firewall-cmd --reload
Valider
Accédez au serveur syslog et affichez le fichier journal des messages.
tail -f /var/log/messages
Vous devriez voir que les journaux du client sont enregistrés sur un serveur syslog.
Feb 9 04:26:09 client systemd: Stopping System Logging Service... Feb 9 04:26:09 client rsyslogd: [origin software="rsyslogd" swVersion="8.24.0-41.el7_7.2" x-pid="910" x-info="http://www.rsyslog.com"] exiting on signal 15. Feb 9 04:26:09 client systemd: Stopped System Logging Service. Feb 9 04:26:09 client systemd: Starting System Logging Service... Feb 9 04:26:09 client rsyslogd: [origin software="rsyslogd" swVersion="8.24.0-41.el7_7.2" x-pid="1546" x-info="http://www.rsyslog.com"] start Feb 9 04:26:09 client systemd: Started System Logging Service.
De cette façon, vous pouvez surveiller les autres journaux tels que les journaux sécurisés, de messagerie, cron, etc.
Conclusion
C'est tout. J'espère que vous avez réussi à configurer un serveur syslog centralisé sur CentOS 7 / RHEL 7. Vous pouvez également essayer des outils de gestion de journaux open source tels que la pile ELK ou Graylog pour des fonctionnalités plus avancées telles que l'interface Web, la corrélation des événements de journal, etc.