服务器系统rsyslog日志服务器适配手册

服务器 0

1.2方案功能概述

系统日志(Syslog)协议是在一个IP网络中转发系统日志信息的标准,它是在美国加州大学伯克利软件分布研究中心(BSD)的TCP/IP系统实施中开发的,目前已成为工业标准协议,可用它记录设备的日志。Syslog记录着系统中的任何事件,管理者可以通过查看系统记录随时掌握系统状况。系统日志通过Syslog进程记录系统的有关事件,也可以记录应用程序运作事件。通过适当配置,还可以实现运行Syslog协议的机器之间的通信。通过分析这些网络行为日志,可追踪和掌握与设备和网络有关的情况。

在Unix类操作系统上,syslog广泛应用于系统日志。syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。接收syslog的服务器可以对多个设备的syslog消息进行统一的存储,或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。

完整的syslog日志中包含产生日志的程序模块(Facility)、严重性(Severity或 Level)、时间、主机名或IP、进程名、进程ID和正文。在Unix类操作系统上,能够按Facility和Severity的组合来决定什么样的日志消息是否需要记录,记录到什么地方,是否需要发送到一个接收syslog的服务器等。由于syslog简单而灵活的特性,syslog不再仅限于Unix类主机的日志记录,任何需要记录和发送日志的场景,都可能会使用syslog。

rsyslog是为了补足早期syslog不足而进行开发的,它兼容早期的syslog应用,并逐步取代老旧的syslog服务进程以适应更高需求的系统运行环境。

  1. 方案依赖资源

2.1方案部署包与依赖包

1

系统默认集成该应用

2.2方案部署条件资源

使用root用户将软件包通过已验证安全工具导入到/root/目录下。

使用安全管理员登录系统,通过安全管理授权工具开放本机514端口。

  1. 方案部署及配置

以root用户在系统的“配置管理工具”中单击“添加”以添加对应的软件包或依赖包,在软件包添加完成后,通过对软件自签名的型式,完成软件相关信息的填写。对于软件信息的关键信息已经使用红色的“*”标示出来,是用户必须填写的内容。

完成软件信息的填写后保存退出当前页面,然后在主界面的方框内勾选上相应添加的软件,在输入安全管理员密码的方框输入安全管理员密码,最后点击“保存”退出当前页面回到配置管理主页面。

在配置管理主页面找到已经添加的软件,单击“安装”完成软件的安装。

注意:这里的软件安装需要按照2.1所示的顺序进行安装,否则安装过程会报错。若在进行软件安装时弹出安全告警询问是否强制安装时,一律选“是”。

  1. 启动服务

4.1配置并启动服务

配置rsyslog服务需要对rsyslog.conf进行配置,该文件在/etc/目录下。在配置该服务前,除了需要服务器以及需要收集日志的客户端均开放514端口外同样所有服务器和客户端均配置了相应的主机名,主机名不重复。最后需要配置rsyslog.conf文件。

服务器端找到/etc/rsyslog.conf配置文件,打开后找到“####Modules####”这个位置,在#module(load="immark")这一行,然后在这一行下面添加以下内容:

module(load="imudp") #provide syslog module use udp protocol.

input(type="imudp port="514") #define the syslog use 514 port with udp protocol.

客户端同样需要配置上述同样的内容,另外还需要再最末尾添加一行输入以下内容:

*.* @192.168.1.100:514

上述内容为使用UDP将日志发送到192.168.1.100这台日志服务器。rsyslog除了使用udp协议外还可以使用tcp协议,如使用tcp协议时,服务器端将imudp更改为imtcp即可。客户端修改imudp为imtcp后,将最末尾添加的内容修改为:

*.* @@192.168.1.100:514

最后通过systemd进程重启rsyslog服务:

systemctl restart rsyslog //重启rsyslog日志服务进程

4.2验证服务

通过systemd服务进程查看rsyslog服务状态:

systemctl status rsyslog //查看rsyslog日志服务进程状态

然后通过服务器端查看日志更新的情况:

tail -f /var/log/messages

通过查看日志信息发现所有客户端的日志均已经收集进该日志服务器的message日志当中。

4.3停止服务

通过systemd服务进程停止rsyslog服务:

systemctl stop rsyslog //停止rsyslog日志服务进程

对于日志服务进程,系统默认是永久开启的,用户绝对不可以停止该进程,以免系统所有错误信息无法记录。

  1. 软件卸载

按照如下方式可以卸载软件包:

以 root 身份登录桌面,点击桌面“配置管理”软件,切换到“软件管理”功能标签,找到导入的软件包名,点击该行的“卸载”按钮,稍等片刻就能完成软件卸载。

也许您对下面的内容还感兴趣: