Syslog -Tutorial

„Syslog ist eine Möglichkeit, Protokolle von verschiedenen Systemen zu einem Remote -Syslog -Server zu konsolidieren. Der Syslog -Server verfügt über drei Schlüsselkomponenten. Der erste ist ein Hörer, der UDP über Port 514 verwendet, um Syslog -Daten zu sammeln. Als nächstes kommt die Datenbank, die die generierten Syslog -Daten und schließlich die Verwaltung und Filtersoftware speichert.

Als Systemadministrator wird verstehen, wie Syslog funktioniert und wie Client -Maschinen so konfiguriert werden, dass sie ihre Syslog -Daten an den Remote -Server kanalisieren können. In diesem Handbuch wird Syslog unter Linux erörtert und bietet Schritte zum Konsolidieren von Protokollen für eine Remote -Maschine.”

Syslog verstehen

Syslog ist ein Protokoll, das über UDP mit Port 514 kommuniziert und es Hosts ermöglicht, Protokolle an Syslog -Server über die IP -Netzwerke zu übertragen. Die Arbeit des Syslog -Servers besteht darin, die von ihm empfangenen Syslog -Benachrichtigungen zu überwachen und zu reagieren.

Dadurch kann ein Administrator eine zentrale Kontrolle über Protokolle verschiedener Clients haben, so.

Die Syslog -Clients generieren Syslog -Nachrichten, die sie an den Syslog -Server senden. Die Nachricht enthält drei wichtige Teile.

1. Priorität - Es repräsentiert die Schwere und Einrichtung der Botschaft. Der Prioritätswert bestimmt die Priorität des angegebenen Protokolls. Mit der Verwendung können Sie die Protokolle basierend auf dem Prioritätswert filtern.
2. Header - Es repräsentiert den Zeitstempel für das Protokoll und den Namen des Host/Client -Computers, der die Protokollnachricht sendet.
3. Nachricht - Es repräsentiert die tatsächliche Protokollnachricht, die ein Administrator bei der Fehlerbehebung bei einem Fehler anzeigt. Die Nachricht enthält Details wie Host -IP -Adressen, Schweregrad und die Ereignisnachricht.

Lassen Sie uns ein Beispiel für eine Syslog -Nachricht haben und ihre verschiedenen Teile identifizieren.

<34> 2 2022-10-3T10: 30: 35.004Z LinuxHint SU - ID12 - BOM'SU root 'für LinuxHint auf/dev/pts/4 fehlgeschlagen

Im obigen werden wir von links beginnen. Der 34 repräsentiert den Prioritätswert für die Nachricht. 2 ist die Versionsnummer für die Protokollnachricht. Daneben ist die ISO TIMESTAMP, gefolgt von der Hostname. Als nächstes haben wir das Spezifische Anwendung das löste den Fehler und seinen aus PID. Zuletzt haben wir die Nachrichten -ID des Ereignisses und die Protokollnachricht.

Arbeiten mit Syslog

Jedes System generiert Protokolle für Ereignisse, die einen Fehler verursachen, z. B. das zufällige Schließen einer Anwendung. Die Protokolle für die lokale Maschine werden in der gespeichert /var/log, und Sie können den Inhalt auflisten, um die verschiedenen zu sehen

Protokollieren Sie Dateien und Verzeichnisse für Ihr System mit der LS -Befehl.

Sie werden im obigen Bild feststellen, dass wir die Protokolldatei aufgerufen haben Syslog. Es enthält die Protokolle für Ihr System; In diesem Fall ist es für Ubuntu/Debian -Systeme. Für Roter Hut, du wirst vielleicht finden Mitteilungen anstelle von syslog.

Um die Protokolle für das System anzuzeigen, öffnen Sie die Protokolldatei in Echtzeit mit der Schwanzkommando. Verwenden Sie für Debian/Ubuntu den folgenden Befehl.

$ sudo tail -f/var/log/syslog

Für Client -Maschinen sind die Regeln für das Senden des Syslogs in der enthalten rsyslog Konfigurationsdatei. Sie müssen diese Konfigurationsdatei bearbeiten, um einen Computer so festzulegen.

Arbeiten mit RSYSLog -Konfigurationsdatei

Sie können diese Konfigurationsdatei mit einem Editor der Wahl anzeigen. Lassen Sie es uns mit dem öffnen Nano Editor.

$ sudo nano /etc /rsyslogg.Conf

Unten ist, wie die Konfigurationsdatei aussieht.

In dieser Datei werden alle für Ihr Syslog definierten Regeln enthalten, einschließlich des Syslog -Servers und seiner IP -Adresse. Erstellen wir einen Syslog -Server in einer Remotemaschine und übertragen wir die Protokolle von unserem Client -Computer.

Konfigurieren eines Syslog -Servers

In diesem Beispiel verwenden wir Ubuntu 22.04 als unser Server.

Stellen Sie zunächst sicher, dass Sie das haben rsyslog installiert durch Überprüfung der Version. Wenn nicht installiert, installieren Sie es mit APT.

$ rsyslogd -v

Das nächste ist, die RSYSlog -Konfigurationsdatei mit dem NANO -Editor zu öffnen.

$ sudo nano /etc /rsyslogg.Conf

Suchen Sie das Modul und den Eingang für TCP. Als nächst # und Hinzufügen der folgenden Zeile, damit Ihre Konfigurationsdatei wie die im folgenden Bild angezeigt wird.

$ template Dateiname, ”/var/log/%hostname%/syslog.Protokoll"
*.* ?DATEINAMEN

Sobald Sie die Konfigurationsdatei bearbeitet haben, starten Sie die neu neu rsyslog

$ sudo systemctl starten rsyslog neu starten.Service

Der letzte Schritt ist zu überprüfen. Verwenden Sie den folgenden Befehl, um dies zu überprüfen.

$ sudo netstat -pnlt

Konfigurieren des Clients

Öffnen Sie den Client -Computer und überprüfen Sie, ob er hat rsyslog Durch Überprüfen der Version.

Öffnen Sie als nächstes die RSYSLog -Konfigurationsdatei.

$ sudo nano /etc /rsyslogg.Conf

Fügen Sie nach dem Öffnen die IP -Adresse Ihres Servers mit dem folgenden Format hinzu.

*.* @@: 514

Starten Sie neu und aktivieren Sie den Rsyslog

$ sudo systemctl starten rsyslog neu starten
$ sudo systemctl aktivieren rsyslog

Lassen Sie uns den Syslog testen, indem Sie eine zufällige Meldung protokollieren, die auf den Client -Syslog -Server nachdenken sollte.

Öffnen Sie den Remote-Client und sehen Sie sich den Syslog für den Kunden in Echtzeit an. Aus dem Bild unten sehen wir die protokollierte Nachricht vom Client, die bestätigt, dass unser Syslog -Remote -Server funktioniert.

Einpacken

Dieser Leitfaden hat ein praktisches Tutorial zum Einstieg mit Syslog vorgestellt. Wir haben gesehen, wie Sie eine Syslog-Nachricht lesen und eine Client-Server-Architektur für Syslog konfigurieren. Das ist es.