Hari ini kita akan melihat cara mengatur manajemen log terpusat untuk server Linux. Ini akan membantu admin Linux untuk memiliki beberapa log server di satu tempat. Admin Linux tidak diharuskan untuk login ke setiap server untuk memeriksa log, ia cukup login ke server terpusat dan mulai melakukan pemantauan log.
Linux memberi label (auth, cron, FTP, LPR, authpriv, news, mail, syslog, dll..) pesan log untuk menunjukkan jenis perangkat lunak yang menghasilkan pesan dengan tingkat keparahan (Alert, critical, Warning, Notice, info, dll,..).
Anda dapat menemukan informasi lebih lanjut tentang Label Pesan dan Tingkat Keparahan
Pastikan Anda memiliki yang berikut ini untuk menyiapkan server log.
Dua server Linux ( server dan klien).
server.itzgeek.local 192.168.0.10
client.itzgeek.local 192.168.0.20
Pengaturan Server Syslog
Instal paket Rsyslog, jika Anda belum menginstalnya.
yum -y install rsyslog
Edit /etc/rsyslog.conf berkas.
vi /etc/rsyslog.conf
TCP atau UDP
Rsyslog mendukung protokol UDP dan TCP untuk menerima log. Protokol TCP menyediakan transmisi log yang andal.
UDP
Batalkan komentar berikut untuk mengaktifkan server syslog untuk mendengarkan protokol UDP.
DARI:
# Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514
KEPADA:
# Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514
TCP
Batalkan komentar berikut untuk mengaktifkan server syslog untuk mendengarkan protokol TCP.
DARI:
# Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514
KEPADA:
# Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
Mulai ulang layanan syslog
systemctl restart rsyslog
Verifikasi server syslog mendengarkan pada port 514.
netstat -antup | grep 514
Keluaran:
udp 0 0 0.0.0.0:514 0.0.0.0:* 1467/rsyslogd udp6 0 0 :::514 :::* 1467/rsyslogd
Pengaturan Klien Syslog
Instal paket Rsyslog, jika Anda belum menginstalnya.
yum -y install rsyslog
Edit /etc/rsyslog.conf berkas.
vi /etc/rsyslog.conf
Di akhir file, tempatkan baris berikut untuk mengarahkan log pesan klien ke server.
UDP
*.info;mail.none;authpriv.none;cron.none @192.168.0.10:514
TCP
*.info;mail.none;authpriv.none;cron.none @@192.168.0.10:514
Anda dapat menggunakan nama host atau alamat ip.
Mulai ulang layanan syslog
systemctl restart rsyslog
Sekarang semua log pesan dikirim ke server pusat dan juga menyimpan salinannya secara lokal.
Firewall
Hampir semua lingkungan produksi dilindungi oleh firewall perangkat keras, minta mereka untuk membuka TCP &UDP 514.
Jika Anda telah mengaktifkan FirewallD, jalankan perintah berikut di server untuk menerima lalu lintas masuk pada port UDP / TCP 514.
TCP
firewall-cmd --permanent --add-port=514/tcp firewall-cmd --reload
UDP
firewall-cmd --permanent --add-port=514/udp firewall-cmd --reload
Validasi
Buka server syslog dan lihat file log pesan.
tail -f /var/log/messages
Anda akan melihat log klien sedang direkam di server syslog.
Feb 9 04:26:09 client systemd: Stopping System Logging Service... Feb 9 04:26:09 client rsyslogd: [origin software="rsyslogd" swVersion="8.24.0-41.el7_7.2" x-pid="910" x-info="http://www.rsyslog.com"] exiting on signal 15. Feb 9 04:26:09 client systemd: Stopped System Logging Service. Feb 9 04:26:09 client systemd: Starting System Logging Service... Feb 9 04:26:09 client rsyslogd: [origin software="rsyslogd" swVersion="8.24.0-41.el7_7.2" x-pid="1546" x-info="http://www.rsyslog.com"] start Feb 9 04:26:09 client systemd: Started System Logging Service.
Dengan cara ini, Anda dapat memantau log lain seperti secure, mail, cron log, dll.
Kesimpulan
Itu saja. Saya harap Anda berhasil menyiapkan server syslog terpusat di CentOS 7 / RHEL 7. Anda juga dapat mencoba alat manajemen log sumber terbuka seperti ELK stack atau Graylog untuk fitur yang lebih canggih seperti antarmuka web, peristiwa log yang terkait, dll.