Как настроить сервер журналов с rsyslog в CentOS Linux

Демон rsyslog — высокопроизводительная служба протоколирования для Unix-подобных ОС, включая Linux. Она является заменой устаревшего сервиса syslogd. Утилита rsyslog предоставляет расширенные возможности для ведения файлов журнала, включая:

• функцию структурирования журнала;
• фильтрацию;
• пересылку сообщений по различным сетевым протоколам, таким как TCP / UDP, и много другое.

В этой статье мы покажем, как настроить базовые параметры демона rsyslog в дистрибутиве CentOS Linux.

Содержание:

1. Установка инструмента rsyslog в CentOS
2. Файл настроек rsyslog
3. Настройка параметров rsyslog
   1. Пересылка сообщений по UDP и TCP
   2. Запись сообщений в файл журналов
   3. Фильтрация сообщений с приоритетом authpriv
   4. Структурирование директории файлов журналов
4. Перезагрузка демона rsyslog и настройка брандмауэра
5. Выводы

Установка инструмента rsyslog в CentOS Linux

Служба rsyslog предустановлена и работает по умолчанию в CentOS 7 Linux. Чтобы в этом убедиться, воспользуйтесь инструментом systemctl с опцией status. Например:

sudo systemctl status rsyslog.service

Если служба не работает по умолчанию, выполните следующую команду для ее запуска:

sudo systemctl start rsyslog.service

Читайте также: 4 средства мониторинга и управления журналом Linux.

Если по каким-либо причинам утилита rsyslog отсутствует в Вашей ОС, воспользуйтесь менеджером управления пакетами yum для ее установки:

sudo yum install rsyslog

Файл настроек rsyslog

У демона rsyslog есть свой файл настроек — /etc/rsyslog.conf. В нем содержатся различные параметры и шаблоны для управления системными сообщениями в Linux. Вы можете открыть этот документ в любом текстовом редакторе, например, в nano:

nano /etc/rsyslog.conf

На скриншоте выше видно, что по умолчанию все строки в файле /etc/rsyslog.conf закомментированы.

Настройка параметров rsyslog

В качестве примера давайте немного отредактируем файл /etc/rsyslog.conf.

Пересылка сообщений по UDP и TCP

Утилита rsyslog работает через порт 514 и для передачи данных использует сетевой протокол UDP. Однако по умолчанию эта функция отключена, так как соответствующие параметры в файле /etc/rsyslog.conf закомментированы. Чтобы разрешить rsyslog получать сообщения через порт 514 и протокол UDP, достаточно раскомментировать следующие две строки в файле настроек:

$ModLoad imudp
$UDPServerRun 514

Читайте также: Как очистить или удалить файлы журнала в Linux или UNIX.

Чтобы позволить демону rsyslog также использовать протокол TCP, дополнительно раскомментируйте:

$ModLoad imtcp
$InputTCPServerRun 514

Запись сообщений в файл журналов

Как мы сказали ранее, Вы также можете записывать в файл настроек /etc/rsyslog.conf шаблоны для управления журналами. Например, создадим шаблон для регистрации сообщений, поступающих от удаленных операционных систем:

$template RemoteLogs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
. ?RemoteLogs & ~

Давайте детальнее разберем использованные команды:

1. $template RemoteLogs — строка, которая определяет шаблон с названием RemoteLogs.
2. "/var/log/%HOSTNAME%/%PROGRAMNAME%.log" — строка, которая указывает путь файлов журналов:
   • %HOSTNAME% — заполнитель, который будет заменен именем хоста, генерирующего сообщения журнала;
   • %PROGRAMNAME% — заполнитель для названия программы или устройства, сгенерировавшего сообщение журнала.
3. . ?RemoteLogs & ~ — строка, которая указывает демону rsyslog применять шаблон RemoteLogs.

Важно: шаблоны обязательно нужно прописывать перед блоком GLOBAL DIRECTIVES.

Можно также установить директиву, предписывающую rsyslog создавать для каждого удаленного клиента отдельный файл c IP-адресом в названии, куда будут сохраняться все входящие сообщения без фильтрации источника (программы или устройства). Например:

$template FromIp,"/var/log/%FROMHOST-IP%.log"
. ?FromIp & ~

Разберем этот шаблон:

1. $template FromIp — строка, которая определяет шаблон с названием FromIp.
2. "/var/log/%FROMHOST-IP%.log" — строка, которая указывает путь файлов журналов:
   • %FROMHOST-IP% — заполнитель, который будет заменен IP-адресом удаленной ОС, отправившей сообщение журнала.
3. . ?FromIp & ~ — строка, которая указывает демону rsyslog применять шаблон FromIp.

Читайте также: 27 полезных советов по iptables для администратора Linux.

Фильтрация сообщений с приоритетом authpriv

Кроме того, давайте напишем шаблон TmplAuth, предназначенный для направления всех сообщений с приоритетом authpriv в специальные файлы журнала. Приоритет authpriv обычно присваивается данным, содержащим конфиденциальную информацию, например, паролям. Шаблон выглядит следующим образом:

$template TmplAuth, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.* ?TmplAuth

Разберем детальнее его составляющие:

1. $template TmplAuth — строка, которая определяет шаблон с названием TmplAuth.
2. "/var/log/%HOSTNAME%/%PROGRAMNAME%.log" — строка, которая указывает путь к файлам журнала:
   • %HOSTNAME% — заполнитель, который будет заменен именем хоста, генерирующего сообщения журнала;
   • %PROGRAMNAME% — заполнитель названия программы или устройства, сгенерировавшего сообщение журнала.
3. authpriv.* ?TmplAuth — строка, которая указывает rsyslog применять шаблон TmplAuth только к сообщениям с любым уровнем приоритета в категории authpriv.

Структурирование директории файлов журналов

Напоследок, установим шаблон, предписывающий записывать сообщения в файлы каталога /var/log/remote/msg/, разбитого на подкаталоги в соответствии с именем хоста операционной системы и названием программы-источника. Если в названии программы присутствуют косые черты, они заменяются подчеркиваниями, а журналы имеют расширение *.log. Например:

template(name="TmplMsg" type="string"
string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
)

Чтобы научиться создавать более сложные шаблоны rsyslog, ознакомьтесь с man-страницой файла /etc/rsyslog.conf или документацией инструмента:

man rsyslog.conf

Перезагрузка демона rsyslog и настройка брандмауэра

Чтобы новые директивы rsyslog вступили в силу, сохраните внесенные изменения в /etc/rsyslog.conf и перезагрузите демон:

sudo systemctl restart rsyslog

Чтобы убедиться, что rsyslog прослушивает порт 514, примените следующую команду:

sudo netstat -tulpn | grep rsyslog

Читайте также: Как установить Splunk Log Analyzer на CentOS 7.

Если в Вашей ОС включен инструмент SELinux, его необходимо настроить так, чтобы позволить rsyslog принимать трафик в соответствии с типом сетевого сокета. Для этого выполните в терминале:

semanage -a -t syslogd_port_t -p udp 514
semanage -a -t syslogd_port_t -p tcp 514

Так как сервис rsyslog использует порт 514, следует разрешить доступ к этому порту с помощью межсетевого экрана firewalld:

sudo firewall-cmd --permanent --add-port=514/tcp
sudo firewall-cmd --permanent --add-port=514/udp
sudo firewall-cmd --reload

Выводы

Теперь Вы знаете, что такое демон rsyslog и какие задачи он выполняет. Мы также показали несколько примеров настройки параметров и создания шаблонов rsyslog для управления файлами журналов в дистрибутивах на базе RHEL / CentOS Linux.

Спасибо за время, уделенное прочтению статьи!

Если возникли вопросы — задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).