File log adalah file yang menyimpan informasi tentang aktivitas sistem seperti upaya otorisasi dan akses, upaya startup dan shutdown, startup dan shutdown layanan, dll. Ada file log yang berbeda untuk jenis aktivitas yang berbeda. File log memudahkan dalam pemecahan masalah dan pemantauan aktivitas sistem. Rsyslog adalah program open-source untuk OS Linux yang dapat dikonfigurasi baik sebagai server logging dan klien.
Dalam panduan hari ini, kami akan mengatur server RSyslog di OS Ubuntu. Kami akan menggunakan dua mesin Ubuntu. Pada satu mesin Ubuntu, kami akan mengkonfigurasi Rsyslog sebagai server logging, dan pada mesin lainnya; kita akan mengkonfigurasi Rsyslog sebagai klien yang akan mengirimkan log ke server Rsyslog.
Mengonfigurasi Server Rsyslog di Ubuntu
Kami akan mengkonfigurasi Rsyslog di salah satu mesin Ubuntu kami yang ingin kami gunakan sebagai server logging. Rsyslog sudah diinstal sebelumnya di server Ubuntu. Namun, jika hilang karena alasan apa pun, Anda dapat menginstalnya dengan menjalankan perintah ini:
$ sudo apt install rsyslog
Selama penginstalan, Anda akan diminta dengan y/n pilihan untuk melanjutkan instalasi RSyslog. Tekan y lalu Masukkan untuk melanjutkan.
Untuk memverifikasi instalasi Rsyslog dan melihat status layanannya, jalankan perintah di bawah ini:
$ sudo systemctl status rsyslog
Jika layanan aktif dan berjalan, Anda akan melihat output seperti yang ditunjukkan pada tangkapan layar berikut.
Sekarang RSyslog telah terinstal dan berjalan, sekarang kita akan mengonfigurasinya sebagai server logging.
Edit file konfigurasi Rsyslog etc/rsyslog.conf:
$ sudo nano /etc/rsyslog.conf
Tambahkan baris di bawah ini di file konfigurasi RSyslog:
# Receive syslog over UDP module(load="imudp") input(type="imudp" port="514") # Receive syslog over TCP module(load="imtcp") input(type="imtcp" port="514")
Di bawah ini adalah screenshot bagaimana konfigurasi server logging Rsyslog akan terlihat seperti:
Kemudian kita akan membuat template yang akan digunakan oleh RSyslog untuk menyimpan pesan-pesan syslog yang masuk. Untuk melakukannya, tambahkan baris di bawah ini di file konfigurasi Rsyslog sebelum bagian PETUNJUK GLOBAL:
$template remote-incoming-logs, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
Kemudian simpan dan tutup file konfigurasi.
Sekarang jalankan perintah di bawah ini untuk memulai kembali layanan RSyslog:
$ sudo systemctl restart rsyslog
Anda juga dapat memverifikasi apakah Rsyslog mendengarkan port TCP/UDP 514 menggunakan perintah di bawah ini:
$ sudo ss -tunlp | grep 514
Anda akan menerima output di bawah ini:
Mengonfigurasi Firewall
Jika sistem Anda mengaktifkan firewall, Anda harus membuka port TCP/UDP 514. Port ini digunakan oleh server Rsyslog untuk menerima log dari klien jarak jauh. Jalankan perintah ini untuk membuka port TCP/UDP 514 di firewall Ubuntu.
$ sudo ufw allow 514/tcp
$ sudo ufw allow 514/udp
Kemudian muat ulang firewall:
$ sudo ufw reload
Mengonfigurasi Klien Rsyslog di Ubuntu
Sekarang di sistem Ubuntu lainnya, kami akan melakukan konfigurasi untuk klien RSyslog. Klien ini kemudian akan mengirimkan lognya ke server logging RSyslog.
Pada mesin ubuntu yang ingin Anda konfigurasikan sebagai klien Rsyslog, instal terlebih dahulu Rsyslog (jika belum diinstal):
$ sudo apt install rsyslog
Kemudian edit file konfigurasi Rsyslog menggunakan perintah ini:
$ sudo nano /etc/rsyslog.conf
Tambahkan baris di bawah ini di akhir file konfigurasi RSyslog. Pastikan untuk mengganti 192.168.72.204 dengan alamat IP server logging Rsyslog Anda.
#Send system logs to rsyslog server over RDP *.* @192.168.72.204:514 #Send system logs to rsyslog server over TCP *.* @@192.168.72.204:514 ##Set disk queue to preserve your logs in case rsyslog server is experiencing any downtime
$ActionQueueFileName queue $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1
Di bawah ini adalah tangkapan layar bagaimana konfigurasi klien Rsyslog akan terlihat seperti:
Simpan dan tutup file konfigurasi Rsyslog.
Sekarang jalankan perintah di bawah ini untuk memulai kembali layanan RSyslog:
$ sudo systemctl restart rsyslog
Melihat file log Klien di RSyslog Server
Setelah Anda selesai dengan semua konfigurasi yang dijelaskan di atas, Anda dapat melihat file log yang dikirim oleh klien ke server Rsyslog. Pada mesin server Rsyslog Anda, jalankan perintah di bawah ini di Terminal:
$ ls /var/log/
Pada output dari perintah di atas, Anda akan melihat direktori bernama sama dengan nama host sistem klien Anda (ubuntu2 dalam contoh kami).
Untuk melihat file log dari mesin klien, buat daftar isi direktori ini:
$ sudo ls /var/log/ubuntu2
Itu saja! Dalam panduan ini, kami membahas cara mengkonfigurasi Rsyslog di OS Ubuntu baik sebagai server logging dan sebagai klien untuk mengirim log ke server Rsyslog. Kami juga membahas cara melihat log yang dikirim oleh klien ke server logging.