В этом руководстве представлен простой способ настройки Syslog для отправки журналов на удаленный сервер syslog в Solaris 11.4
В нашем предыдущем руководстве мы обсуждали, как настроить удаленное ведение журнала с помощью rsyslog в Ubuntu 18.04.
Централизованный мониторинг сервера RSYSLOG
Настройте системный журнал для отправки журналов на удаленный сервер системного журнала в Solaris 11.4
Проверьте, включен ли Syslog LM;
svcs system-log STATE STIME FMRI disabled 2:07:53 svc:/system/system-log:rsyslog online 23:08:50 svc:/system/system-log:default
Согласно вышеприведенному выводу, собственный системный журнал включен.
Поэтому вам необходимо определить сообщения журнала, которые будут перенаправлены на центральный сервер журнала.
Это может быть сделано путем определения средства и приоритета журналов.
Средство определяет тип программы, которая регистрирует сообщение, например ядро, почтовую систему, процессы безопасности, системный журнал, системные демоны и т. д.
Определенные средства: auth (или security), authpriv, cron, daemon, ftp, kern, lpr mail, mark, news, syslog, user, uucp и local0-local7.
С другой стороны, приоритет определяет уровень серьезности сообщения.
Возможные приоритеты, расположенные в порядке убывания срочности, включают emerg (or panic (0)), alert (1), crit (2), err (or error(3)), warning (or warn (4)), notice (5), info (6), debug (7)
Таким образом, в этом руководстве мы собираемся отправить все информационные сообщения на удаленный сервер.
Следовательно, отредактируйте файл конфигурации системного журнала, /etc/syslog.conf и добавьте строку ниже.
vim /etc/syslog.conf
... # This file is processed by m4 so be careful to quote (`') names # that match m4 reserved words. Also, within ifdef's, arguments # containing commas must be quoted. # *.err;kern.notice;auth.notice /dev/sysmsg *.err;kern.debug;daemon.notice;auth.none;mail.crit /var/adm/messages *.alert;kern.err;daemon.err operator *.alert root *.emerg * # Forward informational Messages *.info @remotehost # Use a tab instead of spaces. ...
Убедитесь, что вы используете табуляции вместо пробелов; * .Info <TAB> @remotehost
Сохраните файл конфигурации и перезапустите системный журнал.
svcadm restart system-log:default
Затем убедитесь, что сервер Solaris 11.4 может связываться с удаленным сервером системного журнала UDP-портом 514.
Это можно сделать с помощью команды netcat
Следовательно, на удаленном сервере запустите netcat для прослушивания команды, как показано ниже;
nc -l 514
В Solaris 11.4 запустите netcat, как показано ниже;
netcat 192.168.43.85 514
Напечатайте что-нибудь в приглашении, и вы сможете увидеть то же самое на удаленном хосте.
На удаленном центральном сервере системных журналов настройте его так, чтобы он сохранял полученные журналы в определенном каталоге с IP / hostname в качестве идентификатора источника журналов.
Смотрите пример ниже;
... # provides UDP syslog reception module(load="imudp") input(type="imudp" port="514") # provides TCP syslog reception #module(load="imtcp") #input(type="imtcp" port="514") #Custom template to generate the log filename dynamically based on the client's IP address. $template RemInputLogs, "/var/log/remotelogs/%FROMHOST-IP%.log" *.* ?RemInputLogs ...
Затем попробуйте инициировать ssh-аутентификацию на сервере Solaris 11.4.
В то же время выполните команду tcpdump на сервере системного журнала, чтобы убедиться, что журналы действительно отправляются с сервера Solaris 11.4.
tcpdump -i enp0s3 src solaris_server_IP and port 514
В выводе tcpdump ниже вы можете увидеть два сообщения аутентификации, так как я попробовал как неудачную, так и успешную аутентификацию.
tcpdump -i enp0s3 src 192.168.43.181 and port 514 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes 21:17:34.926331 IP 192.168.43.181.61781 > u18svr.syslog: SYSLOG auth.error, length: 117 21:17:48.962226 IP 192.168.43.181.61781 > u18svr.syslog: SYSLOG auth.info, length: 132
В то же время вы можете проверить файл журнала на удаленном сервере, как указано в файле конфигурации выше.
tail /var/log/remotelogs/192.168.43.181.log 2019-02-14T00:06:19+00:00 192.168.43.181 /usr/sbin/dhcpagent[497]: [ID 538334 daemon.info] configure_v4_timers: net0 acquired lease, expires Thu Feb 14 01:06:19 2019 2019-02-14T00:06:19+00:00 192.168.43.181 /usr/sbin/dhcpagent[497]: [ID 759141 daemon.info] configure_v4_timers: net0 begins renewal at Thu Feb 14 00:32:46 2019 2019-02-14T00:06:19+00:00 192.168.43.181 /usr/sbin/dhcpagent[497]: [ID 480545 daemon.info] configure_v4_timers: net0 begins rebinding at Thu Feb 14 00:55:16 2019 2019-02-14T00:17:35+00:00 192.168.43.181 sshd[1711]: [ID 800047 auth.error] error: PAM: Authentication failed for root from 192.168.43.149 2019-02-14T00:17:49+00:00 192.168.43.181 sshd[1711]: [ID 800047 auth.info] Accepted keyboard-interactive/pam for root from 192.168.43.149 port 40300 ssh2
Красота!
Вот так легко настроить Syslog для отправки журналов на удаленный сервер syslog в Solaris 11.4.
В нашем следующем уроке мы рассмотрим настройку Rsyslog на Solaris 11.4. Спасибо за чтение, и мы надеемся, что это было информативно.
