El rsyslog.Guía completa del archivo confático para Linux

Jacobo Piña
El rsyslog.Guía completa del archivo confático para Linux
Syslog es una herramienta basada en UNIX que Linux usa para administrar los archivos de registro locales. Ahora, los nuevos sistemas Linux usan un demonio llamado Rsyslog, que en realidad es una herramienta mejorada.

El archivo rsyslog se puede usar para configurar un servidor de registro central, así como para configurar los sistemas de clientes individuales para enviar sus archivos de registro al servidor de registro.

RSYSLOG se puede instalar tanto en las distribuciones Red Hat como en Ubuntu. El repositorio de Adiscon Ubuntu proporciona las versiones más recientes de Rsyslog en Ubuntu. Del mismo modo, el repositorio de Adiscon RPM proporciona las últimas versiones de Rsyslog para Red Hat/Centos.

Para usar un sistema como servidor de registro, instale el servicio RSYSLOG en ese sistema. Además, instale el servicio RSYSLOG en los sistemas que enviarán registros a este servidor.

Con el demonio rsyslog, podemos enviar registros a servidores remotos. Es relativamente sencillo configurar rsyslog. Los archivos de registro están centralizados que ayudan a archivar y solucionar procesos.

¿Por qué son importantes los archivos de registro??

Los archivos de registro son básicamente una parte indispensable de una configuración de servidor. Estos archivos se utilizan en:

  1. Solución de problemas
  2. Auditoría del sistema
  3. Análisis de rendimiento

Los archivos de registro son una fuente clave para recopilar información crítica sobre un sistema y varios procesos que se ejecutan en él. Esta información se utiliza para auditar y solucionar problemas.

¿Qué cubriremos??

En este tutorial, aprenderá sobre el servicio Rsyslog en Linux.

Elegir la partición para /var /log

El /etc /rsyslog.Conf contiene una lista de archivos de registro administrados por Daemon Rsyslogd. El directorio/var/log/contiene la mayoría de los archivos de registro. Aplicaciones como Samba, Httpd y otras también almacenan sus registros dentro de un subdirectorio dentro del /var /log.

Es una buena práctica montar el directorio /var /log en una partición separada. Esto ayuda a evitar una situación en la que los registros locales ocupan el espacio compartido por el sistema de archivos raíz. Este es un paso críticamente importante para configurar los servidores que reciben demasiados archivos de registro de múltiples sistemas remotos.

El servicio de registro de rsyslog

La aplicación RSYSLOG ayuda a centralizar la colección de registros en su infraestructura. Esta aplicación funciona en paralelo con el llamado Systemd-Journald. Aunque el servicio RSYSLOG todavía se usa en los sistemas Red Hat, ahora se está reemplazando por este nuevo sistema de registro, Systemd-Journald.

El Systemd-Journald se introdujo con Systemd en RHEL 7 y se continúa utilizándose con RHEL 8 y 9. El servicio RSYSLOG proporciona compatibilidad hacia atrás en los sistemas RHEL más nuevos.

El rsyslog.Archivo de configuración

Vamos a tratar ahora con el rsyslog real.Archivo confirmado ubicado en /etc/rsyslog.confusión. Este archivo es compatible con el retroceso con el syslog.Archivo de confirmación del sysklogd.

Las reglas especificadas en este archivo rigen cómo el RSYSLOGD trata con los mensajes. De manera general, se puede clasificar los mensajes en función de su fuente, tema (instalación) y urgencia (prioridad). Una vez clasificado, se puede asignar y realizar una acción cuando un mensaje califica la condición establecida.

Este archivo tiene tres especificaciones principales: directivas globales, módulos y reglas. La sección de reglas comprende los componentes de filtro y acción.

Ejemplo de fragmento de archivo en RHEL 8:

$ cat /etc /rsyslog.confusión
# archivo de configuración de rsyslog
#### módulos ####
módulo (load = "iMuxsock" # proporciona soporte para el registro del sistema local (E.gramo. a través del comando logger)
# Los mensajes locales se recuperan a través de Imjournal ahora.
módulo (load = "imjournal" # proporciona acceso a la revista Systemd
#### Directivas globales ####
# Dónde colocar archivos auxiliares
Global (WorkDirectory = "/var/lib/rsyslog")
# Use el formato de marca de tiempo predeterminado
módulo (load = "builtin: omfile" plantplate = "rsyslog_traditionalFileFormat")
# Incluye todos los archivos de configuración en /etc /rsyslog.d/
incluir (file = "/etc/rsyslog.d/*.conf "mode =" opcional ")
#### NORMAS ####
# Registre todos los mensajes de kernel en la consola.

Directivas globales

Las directivas globales se utilizan para configurar el demonio rsyslogd. En general, especifican un valor para una variable predefinida particular que afecta la funcionalidad de RSYSLOGD o una regla.

Sección del módulo

Agregar extensiones en rsyslog es simple debido a su arquitectura modular. Cuando abre el archivo, hay una línea:

módulo (load = "iMuxsock") # proporciona soporte para el registro del sistema local

El propósito de esta línea es dirigir el rsyslog para cargar el módulo "iMuxsock" para recibir mensajes a través de /dev /log.

Luego, hay un bloque para la recepción de UDP Syslog:

#module (load = "imudp")
#Input (type = "Imudp" Port = "514")

Aunque, estas líneas que comienzan con "#" son comentarios y se ignoran. Pero dicen cómo configurar el servidor RSYSLOG para recibir los mensajes en una red UDP.

Como de costumbre, la primera línea carga el módulo llamado "Imudp". La segunda línea especifica el puerto UDP 514 como el puerto en el que el módulo debe escuchar los mensajes de registro. Cuando quieras usar esta función, solo comenta las líneas.

Sección de reglas

En la parte inferior del archivo de configuración, hay un bloque que contiene las siguientes líneas:

# Incluye todos los archivos de configuración en /etc /rsyslog.d/
$ Includeconfig /etc /rsyslog.d/*.confusión

Se pueden agregar otros archivos en una configuración de Rsyslog, lo que hace que sea simple administrar los archivos, particularmente mientras supervisa una gran red de sistemas. Esta directiva instruye a Rsyslogd que cargue todos los archivos dentro del /etc/rsyslog.d.

Selectores y acciones

Para enviar un mensaje de registro en algún lugar, tenemos que definir una regla que coincida con el mensaje. Por ejemplo, considere la siguiente línea de /etc/syslog.D/50 deformento.confusión:

*.= debug/var/log/debug

Aquí, la primera parte, "*.= depuración ", es un selector. La siguiente parte, "/Var/log/debug", es la ruta a la ubicación donde rsyslogd coloca los mensajes filtrados.

La parte de filtros de una regla elige una parte de los mensajes syslog. La parte de acción decide qué acción se debe realizar con estos mensajes.

Rsyslog tiene diferentes formas de filtrar los mensajes syslog basados ​​en las propiedades elegidas. Los métodos de filtrado se pueden clasificar en función de: instalación/prioridad, propiedad y expresiones.

La parte de las acciones, como se mencionó anteriormente, especifica qué hacer con los mensajes previamente filtrados. Las acciones pueden almacenar los mensajes Syslog a los archivos de registro, transferir los mensajes de Syslog a través de una red, etc.

Obtener la documentación de Rsyslog

Se puede ver una documentación completa de la aplicación RSYSLOG en línea en https: // www.rsyslog.com/doc/. Sin embargo, se llamó un paquete de documentación local llamado rsyslog-doc También se puede instalar en su sistema.

Para instalar este paquete en RHEL 8, debe tener un repositorio de AppStream instalado y un acceso administrativo en su sistema. Una vez que se cumplan estos requisitos, simplemente ejecute el siguiente comando para instalar este paquete:

$ yum instalación rsyslog-doc

Para verificar si el paquete se instala correctamente, ejecute el siguiente comando:

$ Firefox/usr/share/doc/rsyslog/html/index.html &

Editando el Rsyslog.Confusión Archivo

Antes de editar este archivo, tome una copia de seguridad para que podamos restaurar a un punto seguro si algo sale mal.

Configurar este archivo para UDP. Ahora abrimos este archivo y sin comment las líneas correspondientes a UDP:

# proporciona recepción de Syslog de UDP
módulo (load = "imudp")
input (type = "Imudp" Port = "514")

Del mismo modo, para configurar este archivo para la recepción de TCP, descompone las líneas correspondientes a TCP:

# Proporciona recepción de TCP syslog
módulo (load = "imtcp")
input (type = "IMTCP" Port = "514"

Conclusión

Este tutorial presenta una descripción general del servicio Rsyslog en Linux. También puede consultar las páginas principales para explorar la información detallada sobre este servicio.

Sqlite
Cómo descargar e instalar herramientas SQLite?
SQLite es un sistema de administración de bases de datos ampliamente utilizado, ligero y eficiente q...
Mayte Mesa
php
Cómo usar la función Scandir en PHP
La función Scandir () en PHP escanea un directorio para archivos y directorios. Devuelve una matriz ...
Salvador Anaya
Programación C
¿Qué es la dirección de memoria en la programación C y cómo encontrarla??
La dirección de memoria en la programación C se refiere a la ubicación donde los datos se almacenan ...
Pilar Melgar
Pitón
¿Cómo convierto una excepción a una cadena en Python?
Mayte Mesa
OS de Windows
¿Cuál es la diferencia entre Windows Top 10 Home y Pro
Pilar Melgar
Estibador
Complementos de motor Docker
Daniela Villaseñor
Javascript
¿Qué hace el método ATOB en JavaScript?
Pilar Melgar
AWS
Qué herramientas de AWS y DevOps se necesitan para desarrollar una aplicación web?
Carolina Guzmán
golang
¿Qué son los tipos de datos en Golang?
Lorenzo Morales
Potencia Shell
Cómo usar operadores de comparación en PowerShell?
Mariana Cotto
html
Cómo crear puntos de bala HTML?
Carolina Guzmán
Estibador
¿Cómo puedo instalar Docker a través de Ubuntu Terminal??
Jacobo Piña
Potencia Shell
¿Cuáles son los pasos para iniciar Windows PowerShell?
Andrés Barrientos