Cómo administrar los registros del sistema (configurar, rotar e importar en la base de datos) en RHEL 7 - Parte 5

Cómo administrar los registros del sistema (configurar, rotar e importar en la base de datos) en RHEL 7 - Parte 5

Para mantener su Rhel 7 Sistemas seguros, debe saber cómo monitorear todas las actividades que tienen lugar en dichos sistemas examinando los archivos de registro. Por lo tanto, podrá detectar cualquier actividad inusual o potencialmente maliciosa y realizar la solución de problemas del sistema o tomar otra acción apropiada.

Examen RHCE: Administrar la registro del sistema RSYSLOGD y LOGROTATE - Parte 5

En Rhel 7, El demonio rsyslogd es responsable del registro del sistema y lee su configuración desde /etc/rsyslog.confusión (Este archivo especifica la ubicación predeterminada para todos los registros del sistema) y desde los archivos dentro /etc/rsyslog.d, Si alguna.

Configuración de RSYSLOGD

Una inspección rápida del rsyslog.Conf será útil para comenzar. Este archivo se divide en 3 secciones principales: Módulos (Dado que Rsyslog sigue un diseño modular), Global directivas (utilizadas para establecer propiedades globales del demonio rsyslogd), y Normas. Como probablemente adivinará, esta última sección indica lo que se registra o se muestra (también conocido como el selector) y dónde, y será nuestro enfoque a lo largo de este artículo.

Una línea típica en rsyslog.confusión es como sigue:

Configuración de RSYSLOGD

En la imagen de arriba, podemos ver que un selector consta de uno o más pares Instalación: prioridad separado por semicolons, donde la instalación describe el tipo de mensaje (consulte la sección 4.1.1 en RFC 3164 para ver la lista completa de instalaciones disponibles para RSYSLOG) y la prioridad indica su gravedad, que puede ser una de las siguientes palabras por autoexplantación:

  1. depurar
  2. información
  3. aviso
  4. advertencia
  5. errar
  6. crítico
  7. alerta
  8. emerger

Aunque no es una prioridad en sí, la palabra clave ninguno significa que no hay prioridad en toda la instalación dada.

Nota: Que una prioridad dada indica que todos los mensajes de dicha prioridad y arriba deben registrarse. Por lo tanto, la línea en el ejemplo anterior instruye al rsyslogd demonio para registrar todos los mensajes de información prioritaria o superior (independientemente de la instalación) excepto aquellos que pertenecen a correo, authpriv, y cron Servicios (no se tomarán en cuenta mensajes que provengan de estas instalaciones) /var/log/mensajes.

También puede agrupar múltiples instalaciones utilizando el signo de colon para aplicar la misma prioridad a todas ellas. Así, la línea:

*.información; correo.Ninguno; Authpriv.ninguno; cron.Ninguno/var/log/mensajes 

Podría reescribirse como

*.Información; correo, authpriv, cron.Ninguno/var/log/mensajes 

En otras palabras, las instalaciones correo, authpriv, y cron se agrupan y la palabra clave ninguno se aplica a los tres.

Creación de un archivo de registro personalizado

Para registrar todos los mensajes de demonio a /var/log/tecMint.registro, Necesitamos agregar la siguiente línea en rsyslog.confusión o en un archivo separado (más fácil de administrar) dentro /etc/rsyslog.d:

demonio.*/var/log/tecMint.registro 

Reiniciemos el demonio (tenga en cuenta que el nombre del servicio no termina con un d)

# SystemCTL reiniciar rsyslog 

Y verifique el contenido de nuestro registro personalizado antes y después de reiniciar dos demonios aleatorios:

Crear archivo de registro personalizado

Como ejercicio de autoestudio, le recomendaría que juegue con las instalaciones y las prioridades y registre mensajes adicionales a los archivos de registro existentes o cree nuevos como en el ejemplo anterior.

Registros giratorios con Logrotate

Para evitar que los archivos de registro crezcan sin cesar, el logrotato La utilidad se utiliza para rotar, comprimir, eliminar y alternativamente los registros de correo, aliviando así la administración de sistemas que generan grandes números de archivos de registro.

Leer sugerido: Cómo configurar y administrar la rotación del registro usando Logrotate en Linux

Logrotato corre diariamente como un cron trabajo (/etc/cron.diariamente/logrotate) y lee su configuración desde /etc/logrotate.confusión y de archivos ubicados en /etc/logrotate.d, Si alguna.

Como con el caso de rsyslog, Incluso cuando puede incluir configuraciones para servicios específicos en el archivo principal, crear archivos de configuración separados para cada uno ayudará a organizar mejor su configuración.

Echemos un vistazo a un típico logrotato.confusión:

Configuración de LOGROTATA

En el ejemplo anterior, logrotato realizará las siguientes acciones para /var/loh/wtmp: Intente rotar solo una vez al mes, pero solo si el archivo es al menos 1 MB En tamaño, luego cree un nuevo archivo de registro con permisos establecidos en 0664 y propiedad dada a la raíz y el grupo del usuario UTMP. A continuación, solo mantenga un registro archivado, como se especifica por la Directiva de rotación:

Logrotate Logs Monthly

Consideremos ahora otro ejemplo como se encuentra en /etc/logrotate.d/httpd:

Rotar archivos de registro de Apache

Puedes leer más sobre la configuración para logrotato En sus páginas de hombre (Logrotate Man y Man Logrotate.conf). Ambos archivos se proporcionan junto con este artículo en formato PDF para su conveniencia de lectura.

Como ingeniero de sistemas, dependerá de usted decidir cuánto tiempo se almacenarán los registros y en qué formato, dependiendo de si tiene /var En una partición separada / volumen lógico. De lo contrario, realmente desea considerar eliminar registros antiguos para guardar espacio de almacenamiento. Por otro lado, puede verse obligado a mantener varios registros para la auditoría de seguridad futura de acuerdo con las políticas internas de su empresa o cliente.

Guardar registros en una base de datos

Por supuesto, examinar los registros (incluso con la ayuda de herramientas como grep y expresiones regulares) puede convertirse en una tarea bastante tediosa. Por esta razón, rsyslog nos permite exportarlos a una base de datos (OTB RDBMS compatible incluye MySQL, Mariadb, PostgreSQL y Oracle.

Esta sección del tutorial supone que ya ha instalado el Mariada servidor y cliente en el mismo cuadro Rhel 7 donde se administran los registros:

# Yum Update && Yum Instale Mariadb Mariadb-Server Mariadb-Client Rsyslog-Mysql # SystemCtl Habilitar Mariadb && SystemCtl Start Mariadb 

Entonces usa el mysql_secure_installation Utilidad para establecer la contraseña para el usuario root y otras consideraciones de seguridad:

Asegurar la base de datos MySQL

Nota: Si no quieres usar el Mariada Usuario root para insertar mensajes de registro en la base de datos, puede configurar otra cuenta de usuario para hacerlo. Explicar cómo hacerlo está fuera del alcance de este tutorial, pero se explica en detalle en la base de conocimiento de Mariadb. En este tutorial usaremos la cuenta raíz para la simplicidad.

A continuación, descargue el creadobb.sql Script desde GitHub e importándolo al servidor de su base de datos:

# mysql -u root -p < createDB.sql 
Guardar registros de servidor en la base de datos

Finalmente, agregue las siguientes líneas a /etc/rsyslog.confusión:

$ Modload Ommysql $ ActionOmmySQLServerport 3306 *.*: Ommysql: localhost, syslog, root,Tu Pasado de Pasas 

Reanudar rsyslog y el servidor de la base de datos:

# SystemCTL reiniciar Rsyslog # SystemCTL reiniciar mariadb 

Consultando los registros con sintaxis SQL

Ahora realice algunas tareas que modificarán los registros (como los servicios de detener e iniciar, por ejemplo), luego registrar su servidor DB y usar los comandos SQL estándar para mostrar y buscar en los registros:

Usar syslog; Seleccione RecibeAT, mensaje de SystemEvents; 
Registros de consultas en la base de datos

Resumen

En este artículo, hemos explicado cómo configurar el registro del sistema, cómo rotar los registros y cómo redirigir los mensajes a una base de datos para una búsqueda más fácil. Esperamos que estas habilidades sean útiles mientras se prepara para el examen RHCE y en sus responsabilidades diarias también.

Como siempre, sus comentarios son más que bienvenidos. Siéntase libre de usar el formulario a continuación para comunicarse con nosotros.