Cómo configurar el servidor de registro centralizado utilizando RSYSLOG

Rsyslog Se utiliza el servidor de registro en los sistemas Linux. Es una versión mejorada de syslog. Rsyslog también admite bases de datos ( Mysql, postgresql ) para almacenar registros. Es el servidor de registro predeterminado utilizado desde la versión CentOS/RHEL 6. Rsyslog es una versión mejorada de Syslog Service en Linux. Este artículo es para configurar el servidor de registro centralizado en nuestro entorno de alojamiento.

Este artículo lo ayudará a instalar el servicio RSYSLOG en CentOS/RHEL 5 y configurar RSYSLOG para enviar todos los registros a un servidor central. Nuestro objetivo principal es que todos nuestros archivos de registro deben estar en la ubicación desde donde podamos hacer una copia de seguridad de ellos o usar cualquier analizador para analizarlos en un lugar. No necesitamos configurar la copia de seguridad en cada servidor individualmente.

Paso 1: Instale el servicio RSYSLOG

RSYSLOG se instala por defecto en los sistemas basados ​​en RHEL desde la versión RHEL 6. Instale el servicio RSYSLOG en el sistema de registro central y los sistemas de clientes. Use los siguientes comandos para instalar el servicio RSYSLOG en la versión anterior de los sistemas RHEL/CentOS.

# yum install rsyslog 

Después de instalar el servicio inicial de Rsyslog y asegúrese de que Syslog se detenga en el servidor.

# servicio syslog stop # chkconfig syslog off # servicio rsyslog inicio # chkconfig rsyslog en 

Paso 2: Configurar rsyslog en el servidor de registro central

Ahora necesitamos configurar Rsyslog en el servidor de registro central para recibir registros de clientes remotos y almacenarlos en diferentes ubicaciones.

Paso 2.1: Permitir Selinux

Si tiene habilitado Selinux en su sistema, use el siguiente comando para habilitar el tráfico RSYSLOG en el puerto 514.

# semanage -a -t syslogd_port_t -p UDP 514 

Paso 2.2: Configuración de la ubicación del archivo de registro

Ahora edite el archivo de configuración de Rsyslog y configure las ubicaciones para generar archivos de registro en el sistema.

# vim /etc /rsyslog.confusión 

y agregue las siguientes líneas como el final del archivo.

 $ TMPLATH TMPLAUTH, "/var/log/%hostname%/%ProgramName%.registrar "Authpriv.* ?Tmplauth *.Información, correo.ninguno, authpriv.Ninguno, Cron.ninguno ?Tmplmsg 

Paso 2.3: Habilitar el módulo y el protocolo UDP

También elimine el comentario de las líneas siguientes (elimine el # de inicio) en el archivo de configuración de Rsyslog para habilitar UDP.

 $ Modload iMudp $ Udpserverrun 514 

Paso 2.4: Acceso abierto en firewall

Si está utilizando iptables para proteger su sistema, entonces debe agregar la siguiente regla para abrir el puerto

# iptables -a input -m state - -state new -m udp -p udp --dport 514 -j aceptar 

Paso 2.5: reiniciar rsyslog

Después de realizar cambios anteriores en el servidor central de Rsyslog, reinicie el servicio utilizando el siguiente comando.

# Servicio de reinicio de Rsyslog 

Paso 3: Configurar rsyslog en los nodos del cliente

Después de configurar el servidor centralizado RSYSLOG, permite configurar el sistema de clientes para enviar sus registros al servidor central de Rsyslog. Inicie sesión en cada cliente nodos y agregue la línea siguiente al final del archivo

 # vim /etc /rsyslog.confusión 

Agregue la línea a continuación, cambie el nombre de host o IP con sus sistemas centrales Rsyslog IP/HostName.

*.* @192.168.1.254: 514 [o] *.* @logserver.ejemplo.com: 514 

y reiniciar el servicio RSYSLOG utilizando el siguiente comando.

# Servicio de reinicio de Rsyslog 

Y la configuración de su servidor de registro centralizado se ha completado con éxito.