syslog強大而安全的日誌處理系統

Ryslog是一個強大而安全的日誌處理系統。Rsylog透過多個物理或虛擬伺服器在網路上接收日誌，並監視不同服務的健康狀況。使用Rsyslog，您可以從集中位置監視其他伺服器、網路裝置和遠端應用程式的日誌。

日誌對於分析和排除 中的任何問題非常有用。預設情況下，所有日誌檔案都位於Linux的/var/log目錄中。日誌檔案有幾種型別，包括cron、核心、使用者、安全性，這些檔案中的大多數都由Rsyslog服務控制。

Ryslog是一個強大而安全的日誌處理系統。Rsylog透過多個物理或虛擬伺服器在網路上接收日誌，並監視不同服務的健康狀況。使用Rsyslog，您可以從集中位置監視其他伺服器、網路裝置和遠端應用程式的日誌。

• 兩個執行Ubuntu 18.04 LTS版本的虛擬機器下載地址：
• 在Rsylog服務端配置靜態IP地址192.168.0.101，在Rsylog客戶端配置192.1680.102。
• 在兩個伺服器上都設定root密碼。

預設情況下，Rsyslog安裝在Ubuntu 18.04伺服器上。如果沒有安裝，您可以透過執行以下 來安裝它：

linuxprobe@ubuntu-18-04-lts:~$ apt-get install rsyslog -y

在安裝Rsyslog之後，您可以使用以下 檢查Rsyslog的版本：

linuxprobe@ubuntu-18-04-lts:~$ rsyslogd -v
rsyslogd 8.32.0, compiled with:
	PLATFORM:				x86_64-pc-linux-gnu
	PLATFORM (lsb_release -d):		
	FEATURE_REGEXP:				Yes
	GSSAPI Kerberos 5 support:		Yes
	FEATURE_DEBUG (debug build, slow code):	No
	32bit Atomic operations supported:	Yes
	64bit Atomic operations supported:	Yes
	memory allocator:			system default
	Runtime Instrumentation (slow code):	No
	uuid support:				Yes
	systemd support:			Yes
	Number of Bits in RainerScript integers: 64
See 

還可以用這個命令檢查Rsyslog的狀態：

linuxprobe@ubuntu-18-04-lts:~$ systemctl status rsyslog
? rsyslog.service - System Logging Service
   Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
   Active: active (running) since Thur 2020-01-16 11:20:32 CST; 1min 31s ago
     Docs: man:rsyslogd(8)
 Main PID: 724 (rsyslogd)
    Tasks: 4 (limit: 1114)
   CGroup: /system.slice/rsyslog.service
           ??724 /usr/sbin/rsyslogd -n
Jan 16 04:28:53 ubuntu-18-04-lts systemd[1]: Starting System Logging Service...
Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (fd 3) from systemd.  [v8.32.0]
Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: rsyslogd's groupid changed to 106
Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]: rsyslogd's userid changed to 102
Jan 16 04:28:54 ubuntu-18-04-lts rsyslogd[724]:  [origin software="rsyslogd" swVersion="8.32.0" x-pid="724" x-info="] start
Jan 16 04:28:55 ubuntu-18-04-lts systemd[1]: Started System Logging Service.

linuxprobe@ubuntu-18-04-lts:~$ vim /etc/rsyslog.conf

取消這幾行前面的註釋,同事使用UDP和TCP協議的514埠

$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514

指定子網、IP或域名來限制訪問，如下所示：

$AllowedSender TCP, 127.0.0.1, 192.168.0.0/24, *.example.com
$AllowedSender UDP, 127.0.0.1, 192.168.0.0/24, *.example.com

建立一個模板來告訴Rsyslog如何儲存傳入的syslog訊息。在GLOBAL DIRECTIVES部分之前新增以下幾行：

$template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
*.* ?remote-incoming-logs

用以下命令檢查Rsyslog配置資訊是否有語法錯誤：

linuxprobe@ubuntu-18-04-lts:~$ rsyslogd -f /etc/rsyslog.conf -N1
rsyslogd: version 8.32.0, config validation run (level 1), master config /etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.

重新啟動Rsyslog：

linuxprobe@ubuntu-18-04-lts:~$ systemctl restart rsyslog

驗證Rsyslog正在使用以下命令監聽TCP/UDP：

linuxprobe@ubuntu-18-04-lts:~$ netstat -4altunp | grep 514
tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      1332/rsyslogd       
udp        0      0 0.0.0.0:514             0.0.0.0:*                           1332/rsyslogd

配置Rsyslog客戶端來向遠端服務端傳送系統日誌訊息。登入客戶端，開啟/etc/rsyslog.conf新增如下資訊：

linuxprobe@ubuntu-18-04-lts:~$ vim /etc/rsyslog.conf
##Enable sending of logs over UDP add the following line:
*.* @192.168.0.101:514
##Enable sending of logs over TCP add the following line:
*.* @@192.168.0.101:514
##Set disk queue when rsyslog server will be down:
$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1

重新啟動Rsyslog：

linuxprobe@ubuntu-18-04-lts:~$ systemtcl restart rsyslog

此時，Rsyslog客戶端被配置為將它們的日誌傳送到Rsyslog服務端。
現在，登入到Rsyslog伺服器並檢查/var/log目錄。看到客戶端機器的主機名，包括幾個日誌檔案：

linuxprobe@ubuntu-18-04-lts:~$ ls /var/log/rsyslog-client/
CRON.log  kernel.log  rsyslogd-2039.log  rsyslogd.log  sudo.log  wpa_supplicant.log

在上面的文章中，我們學習瞭如何在Ubuntu 18.04伺服器上安裝和配置RysLogServer。我們還學習瞭如何配置rsyslog客戶端 向rsyslog服務端傳送日誌。

本文原創地址： 編輯：逄增寶，稽核員：逄增寶