Učitavanje dnevnika na udaljeni host omogućuje nam centraliziranje izvješća za više uređaja i zadržavanje sigurnosne kopije izvještaja radi istraživanja u slučaju da nam nešto ne uspijeva onemogućiti lokalni pristup logovima.
Ovaj vodič pokazuje kako postaviti udaljeni poslužitelj za hostovanje dnevnika i kako ih poslati s klijentskih uređaja i kako klasificirati ili podijeliti zapisnike u direktorijima prema klijentskom hostu.
Kako bih slijedio upute možete koristiti virtualni uređaj, uzeo sam besplatni VPS od Amazona (ako trebate pomoć pri postavljanju Amazonovog uređaja, na njemu se nalazi sjajan namjenski sadržaj na LinuxHintu na https: // linuxhint.com / category / aws /). Primijetite da se javna IP adresa poslužitelja razlikuje od njegove interne IP adrese.
Prije početka:
Softver koji se koristi za daljinsko slanje dnevnika je rsyslog, on se standardno isporučuje na Debian-u i izvedenim Linux distribucijama, u slučaju da ga nemate pokrenut:
# sudo apt instalirati rsyslogStanje rsyslog uvijek možete provjeriti pokretanjem:
# sudo service rsyslog status
Kao što vidite, status na snimci zaslona je aktivan, ako vaš rsyslog nije aktivan, uvijek ga možete pokrenuti pokretanjem:
# sudo service rsyslog startIli
# systemctl start rsyslog
Bilješka: Za dodatne informacije o svim opcijama za upravljanje uslugama Debian provjerite Zaustavljanje, pokretanje i ponovno pokretanje usluga na Debianu.
Pokretanje rsysloga trenutno nije relevantno jer ćemo ga trebati ponovno pokrenuti nakon što izvršimo neke promjene.
Kako poslati Linux zapise na udaljeni poslužitelj: na poslužitelju
Prije svega, na poslužitelju uredite datoteku / etc / resyslog.konf pomoću nano ili vi:
# nano / etc / rsyslog.konf
Unutar datoteke raskomentirajte ili dodajte sljedeće retke:
modul (opterećenje = "imudp")ulaz (type = "imudp" port = "514")
modul (opterećenje = "imtcp")
ulaz (type = "imtcp" port = "514")
Iznad smo nekomentirali ili dodali primanja dnevnika putem UDP-a i TCP-a, možete dopustiti samo jedan od njih ili oba, kad se jednom komentiraju ili dodaju, morat ćete urediti pravila vatrozida kako biste omogućili dolazne zapisnike i omogućili prijavu dnevnika putem TCP pokretanja:
# ufw dopustiti 514 / tcp
Da biste omogućili dolazne zapisnike kroz pokretanje UDP protokola:
# ufw dopustiti 514 / udp
Da biste omogućili i TCP i UDP, pokrenite dvije gornje naredbe.
Bilješka: za više informacija o UFW-u možete pročitati Rad s Debian vatrozidima (UFW).
Ponovo pokrenite uslugu rsyslog pokretanjem:
# sudo service rsyslog restart
Sada nastavite na klijentu da konfigurira zapisnike slanja, a zatim ćemo se vratiti na poslužitelj kako bismo poboljšali format.
Kako poslati Linux zapise na udaljeni poslužitelj: strana klijenta
U zapisnike slanja klijenta dodajte sljedeći redak, zamjenjujući IP 18.223.3.241 za IP vašeg poslužitelja.
*.* @@ 18.223.3.241: 514
Izađite i spremite promjene pritiskom na CTRL + X.
Jednom uređeno, ponovo pokrenite rsyslog uslugu izvođenjem:
# sudo service rsyslog restart
Na strani poslužitelja:
Sada možete provjeriti zapisnike unutar / var / log, prilikom njihovog otvaranja primijetit ćete mješovite izvore za svoj zapis, sljedeći primjer prikazuje zapisnike s Amazonovog internog sučelja i iz klijenta Rsyslog (Montsegur):
Zum to jasno pokazuje:
Budući da miješane datoteke nisu ugodne, u nastavku ćemo urediti rsyslog konfiguraciju kako bismo odvojili zapisnike prema izvoru.
Da biste razlikovali zapisnike unutar direktorija s imenom klijentskog domaćina, dodajte sljedeće retke na poslužitelj / etc / rsyslog.conf kako bi uputio rsyslog kako spremati udaljene zapisnike, kako bi to učinio unutar rsyslog-a.conf dodajte retke:
$ template RemoteLogs, "/ var / log /% HOSTNAME% /.zapisnik "*.* ?RemoteLogs
& ~
Izađite iz spremanja promjena pritiskom na CTRL + X i ponovno pokrenite rsyslog na poslužitelju:
# sudo service rsyslog restart
Sada možete vidjeti nove direktorije, nazvane ip-172.31.47.212 koje je interno sučelje AWS-a i drugo pod nazivom "montsegur" poput rsyslog klijenta.
Unutar direktorija možete pronaći zapisnike:
Zaključak:
Daljinsko bilježenje nudi izvrsno rješenje problema koji može srušiti usluge ako se spremište poslužitelja napuni zapisnicima, kao što je rečeno na početku, također je neophodno u nekim slučajevima u kojima sustav može biti ozbiljno oštećen bez dopuštanja pristupa zapisnicima , u takvim slučajevima udaljeni poslužitelj dnevnika jamči sysadmin pristup povijesti poslužitelja.
Implementacija ovog rješenja tehnički je prilično jednostavna, pa čak i besplatna s obzirom da nisu potrebni visoki resursi, a besplatni poslužitelji poput AWS slobodnih slojeva dobri su za ovaj zadatak, ako povećate brzinu prijenosa dnevnika, možete dopustiti samo UDP protokol (unatoč gubitku pouzdanosti). Postoje neke alternative Rsyslogu kao što su: Flume ili Sentry, ali rsyslog ostaje najpopularniji alat među Linux korisnicima i sysadminima.
Nadam se da vam je ovaj članak o slanju dnevnika Linuxa na udaljeni poslužitelj bio koristan.