File log adalah file yang menyimpan informasi tentang aktivitas sistem seperti otorisasi dan upaya akses, upaya startup dan shutdown, startup dan shutdown layanan, dll. Ada file log yang berbeda untuk berbagai jenis aktivitas. File log memudahkan dalam pemecahan masalah dan pemantauan aktivitas sistem. Rsyslog adalah program open-source untuk OS Linux yang dapat dikonfigurasi baik sebagai server logging dan klien.
Di sini, di LinuxAPT, sebagai bagian dari Layanan Manajemen Server kami, kami secara teratur membantu pelanggan kami untuk melakukan kueri Rsyslog terkait.
Dalam konteks ini, kita akan melihat pengaturan server RSyslog di OS Ubuntu 20.04 menggunakan dua mesin Ubuntu. Pada satu mesin Ubuntu, kami akan mengkonfigurasi Rsyslog sebagai server logging, dan pada mesin lainnya; kita akan mengkonfigurasi Rsyslog sebagai klien yang akan mengirimkan log ke server Rsyslog.
Bagaimana cara menginstal Rsyslog di Ubuntu 20.04 LTS Focal Fossa ?
1. Lakukan Pembaruan Sistem
Untuk memulai, pastikan bahwa semua paket sistem Anda mutakhir dengan menjalankan perintah apt berikut di terminal:
$ sudo apt update
$ sudo apt upgrade
2. Instal Rsyslog pada sistem
Secara default, Rsyslog sekarang tersedia di repositori dasar Ubuntu. Sekarang kita jalankan perintah berikut di bawah ini untuk menginstal paket server Rsyslog di sistem Anda:
$ sudo apt install rsyslog
Setelah instalasi selesai, mulai dan aktifkan layanan RSyslog:
$ sudo systemctl start rsyslog
$ sudo systemctl enable rsyslog
$ sudo systemctl status rsyslog
Untuk memverifikasi instalasi Rsyslog dan melihat status layanannya, jalankan perintah di bawah ini:
$ sudo systemctl status rsyslog
Bagaimana cara mengkonfigurasi Server Rsyslog di Ubuntu?
1. Konfigurasi Rsyslog
Sekarang RSyslog telah terinstal dan berjalan, sekarang kita akan mengonfigurasinya sebagai server logging.
Edit file konfigurasi RSyslog etc/rsyslog.conf:
$ sudo nano /etc/rsyslog.conf
Tambahkan baris di bawah ini di file konfigurasi RSyslog:
# Receive syslog over UDP
module(load="imudp")
input(type="imudp" port="514")
# Receive syslog over TCP
module(load="imtcp")
input(type="imtcp" port="514")
Kemudian kita akan membuat template yang akan digunakan oleh RSyslog untuk menyimpan pesan-pesan syslog yang masuk. Untuk melakukannya, tambahkan baris di bawah ini dalam file konfigurasi RSyslog sebelum bagian GLOBAL DIRECTIVES:
$template remote-incoming-logs, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
Kemudian simpan dan tutup file konfigurasi.
Sekarang jalankan perintah di bawah ini untuk me-restart layanan RSyslog:
$ sudo systemctl restart rsyslog
Anda juga dapat memverifikasi apakah Rsyslog mendengarkan port TCP/UDP 514 menggunakan perintah di bawah ini:
$ sudo ss -tunlp | grep 514
2. Konfigurasi Firewall
Jika sistem Anda mengaktifkan firewall, Anda harus membuka port TCP/UDP 514. Port ini digunakan oleh server Rsyslog untuk menerima log dari klien jarak jauh. Jalankan perintah ini untuk membuka port TCP/UDP 514 di firewall Ubuntu:
$ sudo ufw allow 514/tcp
$ sudo ufw allow 514/udp
Kemudian muat ulang firewall:
$ sudo ufw reload
Bagaimana cara mengkonfigurasi Klien Rsyslog di Ubuntu?
Sekarang di sistem Ubuntu lainnya, kami akan melakukan konfigurasi untuk klien RSyslog. Klien ini kemudian akan mengirimkan lognya ke server logging RSyslog.
Pada mesin ubuntu yang ingin Anda konfigurasikan sebagai klien Rsyslog, instal terlebih dahulu Rsyslog (jika belum diinstal):
$ sudo apt install rsyslog
Kemudian edit file konfigurasi Rsyslog menggunakan perintah ini:
$ sudo nano /etc/rsyslog.conf
Tambahkan baris di bawah ini di akhir file konfigurasi RSyslog. Pastikan untuk mengganti 192.168.72.201 dengan alamat IP server logging Rsyslog Anda:
#Send system logs to rsyslog server over RDP
*.* @192.168.72.201:514
#Send system logs to rsyslog server over TCP
*.* @@192.168.72.201:514
##Set disk queue to preserve your logs in case rsyslog server is experiencing any downtime
$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
Simpan dan tutup file konfigurasi Rsyslog.
Sekarang jalankan perintah di bawah ini untuk me-restart layanan RSyslog:
$ sudo systemctl restart rsyslog
Bagaimana Melihat file log Klien di Server RSyslog ?
Setelah Anda selesai dengan semua konfigurasi yang dijelaskan di atas, Anda dapat melihat file log yang dikirim oleh klien ke server Rsyslog. Pada mesin server Rsyslog Anda, jalankan perintah di bawah ini di Terminal:
$ ls /var/log/
Pada output dari perintah di atas, Anda akan melihat direktori bernama sama dengan nama host sistem klien Anda.
Untuk melihat file log dari mesin klien, buat daftar isi direktori ini:
$ sudo ls /var/log/directory