El archivo rsyslog se puede usar para configurar un servidor de registro central, así como para configurar los sistemas de clientes individuales para enviar sus archivos de registro al servidor de registro.
RSYSLOG se puede instalar tanto en las distribuciones Red Hat como en Ubuntu. El repositorio de Adiscon Ubuntu proporciona las versiones más recientes de Rsyslog en Ubuntu. Del mismo modo, el repositorio de Adiscon RPM proporciona las últimas versiones de Rsyslog para Red Hat/Centos.
Para usar un sistema como servidor de registro, instale el servicio RSYSLOG en ese sistema. Además, instale el servicio RSYSLOG en los sistemas que enviarán registros a este servidor.
Con el demonio rsyslog, podemos enviar registros a servidores remotos. Es relativamente sencillo configurar rsyslog. Los archivos de registro están centralizados que ayudan a archivar y solucionar procesos.
¿Por qué son importantes los archivos de registro??
Los archivos de registro son básicamente una parte indispensable de una configuración de servidor. Estos archivos se utilizan en:
Los archivos de registro son una fuente clave para recopilar información crítica sobre un sistema y varios procesos que se ejecutan en él. Esta información se utiliza para auditar y solucionar problemas.
¿Qué cubriremos??
En este tutorial, aprenderá sobre el servicio Rsyslog en Linux.
Elegir la partición para /var /log
El /etc /rsyslog.Conf contiene una lista de archivos de registro administrados por Daemon Rsyslogd. El directorio/var/log/contiene la mayoría de los archivos de registro. Aplicaciones como Samba, Httpd y otras también almacenan sus registros dentro de un subdirectorio dentro del /var /log.
Es una buena práctica montar el directorio /var /log en una partición separada. Esto ayuda a evitar una situación en la que los registros locales ocupan el espacio compartido por el sistema de archivos raíz. Este es un paso críticamente importante para configurar los servidores que reciben demasiados archivos de registro de múltiples sistemas remotos.
El servicio de registro de rsyslog
La aplicación RSYSLOG ayuda a centralizar la colección de registros en su infraestructura. Esta aplicación funciona en paralelo con el llamado Systemd-Journald. Aunque el servicio RSYSLOG todavía se usa en los sistemas Red Hat, ahora se está reemplazando por este nuevo sistema de registro, Systemd-Journald.
El Systemd-Journald se introdujo con Systemd en RHEL 7 y se continúa utilizándose con RHEL 8 y 9. El servicio RSYSLOG proporciona compatibilidad hacia atrás en los sistemas RHEL más nuevos.
El rsyslog.Archivo de configuración
Vamos a tratar ahora con el rsyslog real.Archivo confirmado ubicado en /etc/rsyslog.confusión. Este archivo es compatible con el retroceso con el syslog.Archivo de confirmación del sysklogd.
Las reglas especificadas en este archivo rigen cómo el RSYSLOGD trata con los mensajes. De manera general, se puede clasificar los mensajes en función de su fuente, tema (instalación) y urgencia (prioridad). Una vez clasificado, se puede asignar y realizar una acción cuando un mensaje califica la condición establecida.
Este archivo tiene tres especificaciones principales: directivas globales, módulos y reglas. La sección de reglas comprende los componentes de filtro y acción.
Ejemplo de fragmento de archivo en RHEL 8:
$ cat /etc /rsyslog.confusión
# archivo de configuración de rsyslog
#### módulos ####
módulo (load = "iMuxsock" # proporciona soporte para el registro del sistema local (E.gramo. a través del comando logger)
# Los mensajes locales se recuperan a través de Imjournal ahora.
módulo (load = "imjournal" # proporciona acceso a la revista Systemd
#### Directivas globales ####
# Dónde colocar archivos auxiliares
Global (WorkDirectory = "/var/lib/rsyslog")
# Use el formato de marca de tiempo predeterminado
módulo (load = "builtin: omfile" plantplate = "rsyslog_traditionalFileFormat")
# Incluye todos los archivos de configuración en /etc /rsyslog.d/
incluir (file = "/etc/rsyslog.d/*.conf "mode =" opcional ")
#### NORMAS ####
# Registre todos los mensajes de kernel en la consola.
Directivas globales
Las directivas globales se utilizan para configurar el demonio rsyslogd. En general, especifican un valor para una variable predefinida particular que afecta la funcionalidad de RSYSLOGD o una regla.
Sección del módulo
Agregar extensiones en rsyslog es simple debido a su arquitectura modular. Cuando abre el archivo, hay una línea:
módulo (load = "iMuxsock") # proporciona soporte para el registro del sistema local
El propósito de esta línea es dirigir el rsyslog para cargar el módulo "iMuxsock" para recibir mensajes a través de /dev /log.
Luego, hay un bloque para la recepción de UDP Syslog:
#module (load = "imudp")
#Input (type = "Imudp" Port = "514")
Aunque, estas líneas que comienzan con "#" son comentarios y se ignoran. Pero dicen cómo configurar el servidor RSYSLOG para recibir los mensajes en una red UDP.
Como de costumbre, la primera línea carga el módulo llamado "Imudp". La segunda línea especifica el puerto UDP 514 como el puerto en el que el módulo debe escuchar los mensajes de registro. Cuando quieras usar esta función, solo comenta las líneas.
Sección de reglas
En la parte inferior del archivo de configuración, hay un bloque que contiene las siguientes líneas:
# Incluye todos los archivos de configuración en /etc /rsyslog.d/
$ Includeconfig /etc /rsyslog.d/*.confusión
Se pueden agregar otros archivos en una configuración de Rsyslog, lo que hace que sea simple administrar los archivos, particularmente mientras supervisa una gran red de sistemas. Esta directiva instruye a Rsyslogd que cargue todos los archivos dentro del /etc/rsyslog.d.
Selectores y acciones
Para enviar un mensaje de registro en algún lugar, tenemos que definir una regla que coincida con el mensaje. Por ejemplo, considere la siguiente línea de /etc/syslog.D/50 deformento.confusión:
*.= debug/var/log/debug
Aquí, la primera parte, "*.= depuración ", es un selector. La siguiente parte, "/Var/log/debug", es la ruta a la ubicación donde rsyslogd coloca los mensajes filtrados.
La parte de filtros de una regla elige una parte de los mensajes syslog. La parte de acción decide qué acción se debe realizar con estos mensajes.
Rsyslog tiene diferentes formas de filtrar los mensajes syslog basados en las propiedades elegidas. Los métodos de filtrado se pueden clasificar en función de: instalación/prioridad, propiedad y expresiones.
La parte de las acciones, como se mencionó anteriormente, especifica qué hacer con los mensajes previamente filtrados. Las acciones pueden almacenar los mensajes Syslog a los archivos de registro, transferir los mensajes de Syslog a través de una red, etc.
Obtener la documentación de Rsyslog
Se puede ver una documentación completa de la aplicación RSYSLOG en línea en https: // www.rsyslog.com/doc/. Sin embargo, se llamó un paquete de documentación local llamado rsyslog-doc También se puede instalar en su sistema.
Para instalar este paquete en RHEL 8, debe tener un repositorio de AppStream instalado y un acceso administrativo en su sistema. Una vez que se cumplan estos requisitos, simplemente ejecute el siguiente comando para instalar este paquete:
$ yum instalación rsyslog-doc
Para verificar si el paquete se instala correctamente, ejecute el siguiente comando:
$ Firefox/usr/share/doc/rsyslog/html/index.html &
Editando el Rsyslog.Confusión Archivo
Antes de editar este archivo, tome una copia de seguridad para que podamos restaurar a un punto seguro si algo sale mal.
Configurar este archivo para UDP. Ahora abrimos este archivo y sin comment las líneas correspondientes a UDP:
# proporciona recepción de Syslog de UDP
módulo (load = "imudp")
input (type = "Imudp" Port = "514")
Del mismo modo, para configurar este archivo para la recepción de TCP, descompone las líneas correspondientes a TCP:
# Proporciona recepción de TCP syslog
módulo (load = "imtcp")
input (type = "IMTCP" Port = "514"
Conclusión
Este tutorial presenta una descripción general del servicio Rsyslog en Linux. También puede consultar las páginas principales para explorar la información detallada sobre este servicio.