Tutorial de syslog
“Syslog es una forma de consolidar registros de varios sistemas a un servidor remoto de syslog. El servidor syslog tiene tres componentes clave. El primero es un oyente que utiliza UDP sobre el puerto 514 para recopilar datos de syslog. La siguiente es la base de datos que almacena los datos de syslog generados y, por último, el software de administración y filtrado que permite filtrar los datos de Syslog para una resolución rápida de problemas.
Como administrador del sistema, la comprensión de cómo funciona Syslog y cómo configurar las máquinas clientes para canalizar sus datos de Syslog al servidor remoto es útil. Esta guía discute a Syslog en Linux y ofrece pasos para consolidar registros a una máquina remota."
Comprender syslog
Syslog es un protocolo que se comunica el uso del puerto 514 a través de UDP y permite a los hosts transmitir registros a servidores syslog a través de las redes IP. El trabajo del servidor syslog es monitorear y responder a las notificaciones de syslog que recibe.
A través de esto, un administrador puede tener un control central de los registros de varios clientes, de modo que pueda rastrear rápidamente un error en la máquina de un cliente y, según el mensaje de registro generado, solucionarlo.
Los clientes syslog generan mensajes syslog que envían al servidor syslog. El mensaje tiene tres partes clave.
- Prioridad - Representa la gravedad y la instalación del mensaje. El valor de prioridad dicta la prioridad del registro dado. Usándolo, puede filtrar los registros en función del valor de prioridad.
- Encabezamiento - Representa la marca de tiempo para el registro y el nombre de la máquina host/cliente que envía el mensaje de registro.
- Mensaje - Representa el mensaje de registro real que un administrador verá al solucionar problemas de un error. El mensaje incluye detalles como direcciones IP del host, gravedad y el mensaje del evento.
Tengamos un ejemplo de un mensaje syslog e identifiquemos sus diversas partes.
<34> 2 2022-10-3t10: 30: 35.004z Linuxhint SU - ID12 - BOM'SU Root 'falló para Linuxhint On/dev/pts/4
En lo anterior, comenzaremos desde la izquierda. El 34 representa el valor de prioridad para el mensaje. 2 es el número de versión para el mensaje de registro. Al lado está el Marca de tiempo ISO, Seguido por el nombre de host. A continuación, tenemos el específico solicitud que desencadenó el error y su Pid. Por último, tenemos la ID de mensaje del evento y el mensaje de registro.
Trabajando con syslog
Cada sistema genera registros para eventos que causan un error, como el cierre aleatorio de una aplicación. Los registros de la máquina local se almacenan en el /var/log, y puedes enumerar el contenido para ver los diversos
Registre archivos y directorios para su sistema utilizando el comando ls.
Notará en la imagen de arriba que tenemos el archivo de registro llamado syslog. Contiene los registros para su sistema; En este caso, es para Ubuntu/Debian Systems. Para Sombrero rojo, Puedes encontrar mensajes en lugar de syslog.
Para ver los registros del sistema, abra el archivo de registro en tiempo real utilizando el comando de cola. Para Debian/Ubuntu, use el comando a continuación.
$ sudo cola -f/var/log/syslog
Para las máquinas cliente, las reglas sobre dónde enviar el syslog están contenidas en el rsyslog archivo de configuración. Debe editar este archivo de configuración para configurar una máquina para transmitir sus archivos de registro a un servidor syslog dado.
Trabajar con el archivo de configuración de Rsyslog
Puede ver este archivo de configuración utilizando un editor de elección. Abrámoslo usando el nano editor.
$ sudo nano /etc /rsyslog.confusión
A continuación se muestra cómo se ve el archivo de configuración.
Cualquier regla definida para su syslog estará contenida en este archivo, incluido el servidor syslog y su dirección IP. Creemos un servidor syslog en una máquina remota y transmitamos los registros desde nuestra máquina cliente.
Configuración de un servidor syslog
Para este ejemplo, estamos usando Ubuntu 22.04 como nuestro servidor.
Primero, asegúrese de tener el rsyslog instalado revisando su versión. Si no está instalado, instálelo con APT.
$ rsyslogd -v
Lo siguiente es abrir el archivo de configuración de rsyslog utilizando el editor nano.
$ sudo nano /etc /rsyslog.confusión
Localice el módulo y la entrada para TCP. Luego, desencadenalos eliminando el # y agregar la línea a continuación para que su archivo de configuración aparezca como el de la imagen a continuación.
$ Template FileName, ”/var/log/%hostname%/syslog.registro"
*.* ?NOMBRE DEL ARCHIVO
Una vez que haya editado el archivo de configuración, reinicie el rsyslog
$ sudo systemctl reiniciar rsyslog.servicio
El último paso es verificar que Rsyslog está activo y escucha en el puerto UDP 514. Utilice el siguiente comando para verificar.
$ sudo netstat -pnlt
Configuración del cliente
Abra la máquina del cliente y verifique que tenga rsyslog revisando la versión.
A continuación, abra el archivo de configuración de rsyslog.
$ sudo nano /etc /rsyslog.confusión
Una vez que se abra, agregue la dirección IP de su servidor utilizando el formato a continuación.
*.* @@: 514
Reiniciar y habilitar el rsyslog
$ sudo systemctl reiniciar rsyslog
$ sudo systemctl habilitar rsyslog
Probemos el syslog registrando un mensaje aleatorio que debe reflexionar sobre el servidor syslog del cliente.
Abra el cliente remoto y vea el syslog para el cliente en tiempo real. De la imagen a continuación, podemos ver el mensaje registrado del cliente que confirma que nuestro servidor remoto de Syslog está funcionando.
Envolver
Esta guía ha presentado un tutorial práctico sobre cómo comenzar con Syslog. Hemos visto cómo leer un mensaje de syslog y configurar una arquitectura de cliente cliente para syslog. Eso es todo.