CentOS 8 /RHEL8で集中型SysLogサーバーをセットアップする方法

今日は、CentOS 8 / RHEL 8に集中型syslogサーバーをセットアップして、Linux管理者が1か所で複数のサーバーログを読み取れるようにします。

Linuxラベル（auth、cron、FTP、LPR、authpriv、news、mail、syslogなど）は、重大度（アラート、クリティカル、警告、通知、情報など）でメッセージを生成したソフトウェアのタイプを示すログメッセージです。 ..）。

メッセージラベルと重大度レベルの詳細については、こちらをご覧ください

環境

2台のLinuxサーバー（サーバーとクライアント）。

server.itzgeek.local 192.168.0.10

client.itzgeek.local 192.168.0.20

サーバーのセットアップ

パッケージがまだ存在しない場合は、rsyslogパッケージをsyslogサーバーにインストールします。

dnf install -y rsyslog

/etc/rsyslog.confファイルを編集します。

vi /etc/rsyslog.conf

プロトコル

Rsyslogは、ログを受信するためにUDPプロトコルとTCPプロトコルの両方をサポートします。使用するプロトコルを決定するのはあなた次第です。

Rsyslogは、信頼性の高いログ配信のためにTCPプロトコルの使用を提案しています。

UDP

以下のコメントを外して、syslogサーバーがUDPポートでリッスンできるようにします。

FROM：

# Provides UDP syslog reception
# for parameters see http://www.rsyslog.com/doc/imudp.html
# module(load="imudp") # needs to be done just once
# input(type="imudp" port="514")

TO：

# Provides UDP syslog reception
# for parameters see http://www.rsyslog.com/doc/imudp.html
module(load="imudp") # needs to be done just once
input(type="imudp" port="514")

TCP

以下のコメントを外して、syslogサーバーがTCPポートでリッスンできるようにします。

FROM：

# Provides TCP syslog reception
# for parameters see http://www.rsyslog.com/doc/imtcp.html
#module(load="imtcp") # needs to be done just once
#input(type="imtcp" port="514")

TO：

# Provides TCP syslog reception
# for parameters see http://www.rsyslog.com/doc/imtcp.html
module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514")

syslogサービスを再起動します

systemctl restart rsyslog

ポート514でリッスンしているsyslogサーバーを確認します。

netstat -antup | grep 514

出力：

udp        0      0 0.0.0.0:514             0.0.0.0:*                           30918/rsyslogd      
udp6       0      0 :::514                  :::*                                30918/rsyslogd

クライアントのセットアップ

パッケージがまだ存在しない場合は、rsyslogパッケージをクライアントにインストールします。

dnf install -y rsyslog

/etc/rsyslog.confファイルを編集します。

vi /etc/rsyslog.conf

ファイルの最後に次の行を配置して、クライアントのログメッセージを中央のsyslogサーバーに転送します。

UDP：

action(type="omfwd" Target="192.168.0.10" Port="514" Protocol="udp")

TCP：

action(type="omfwd" Target="192.168.0.10" Port="514" Protocol="tcp")

Targetでホスト名を使用することもできます。syslogサービスを再起動します

systemctl restart rsyslog

これで、すべてのメッセージログが中央サーバーに送信され、コピーがローカルに保持されます。

ファイアウォール

システムにFirewallDがある場合は、syslogサーバーで次のコマンドを実行して、ポート514で着信トラフィックを受け入れます。

UDP：

firewall-cmd --permanent --add-port=514/udp

 firewall-cmd --reload

TCP：

firewall-cmd --permanent --add-port=514/tcp

firewall-cmd --reload

検証

syslogサーバーに移動し、メッセージログファイルを表示します。

tail -f /var/log/messages

クライアントマシンにvsftpdをインストールして起動しましたが、両方がsyslogサーバーに記録されていることがわかります。

Jan 31 03:21:07 client systemd[1]: Stopping System Logging Service...
Jan 31 03:21:08 client rsyslogd[30944]: [origin software="rsyslogd" swVersion="8.37.0-13.el8" x-pid="30944" x-info="http://www.rsyslog.com"] exiting on signal 15.
Jan 31 03:21:08 client systemd[1]: Stopped System Logging Service.
Jan 31 03:21:08 client systemd[1]: Starting System Logging Service...
Jan 31 03:21:08 client rsyslogd[30952]: environment variable TZ is not set, auto correcting this to TZ=/etc/localtime  [v8.37.0-13.el8 try http://www.rsyslog.com/e/2442 ]
Jan 31 03:21:08 client systemd[1]: Started System Logging Service.
Jan 31 03:21:08 client rsyslogd[30952]: [origin software="rsyslogd" swVersion="8.37.0-13.el8" x-pid="30952" x-info="http://www.rsyslog.com"] start

結論

それで全部です。 CentOS 8 / RHEL 8で一元化されたsyslogサーバーを正常にセットアップできることを願っています。ELKスタックやGraylogなどのオープンソースのログ管理ツールを使用して、Webインターフェイス、ログイベントの関連付けなどのより高度な機能を利用することもできます。