Logmanager dokumentace
Přepnout tmavý/světlý/automatický režim Přepnout tmavý/světlý/automatický režim Přepnout tmavý/světlý/automatický režim Zpět na domovskou stránku
  1. Logmanager dokumentace
  2. /
  3. Konfigurace zdrojových zařízení a aplikací
  4. /
  5. Linux Rsyslog

Linux Rsyslog

Rsyslog monitoruje veškeré logy, které jsou dostupné v systémech Linux. Existuje několik možností, jak nastavit Rsyslog tak, aby přeposílal požadované logy na server Logmanager.

Po úpravách konfiguračních souborů doporučujeme provést kontrolu validity příkazem rsyslogd -N1.

Předávání veškerých logů na Logmanager server

  1. V adresáři /etc/rsyslog.d vytvořte konfigurační soubor lm_all.conf

  2. Vložte do něj následující kód:

    $ModLoad imuxsock # local message reception
$ActionQueueType LinkedList # use asynchronous processing
# set file name, also enables disk mode,
# this value must be unique inside all configs
$ActionQueueFileName srvrfwd
$ActionResumeRetryCount -1 # infinite retries on insert failure
$ActionQueueSaveOnShutdown on # save in-memory data if rsyslog shuts down
# max limit the number of messages that queue can contain
$ActionQueueSize 10000
$ActionQueueMaxFileSize 10M # limit the size of queue buffer on disk

*.* @@<Logmanager_IP_address>:514
    Logmanager_IP_address je IP adresa vašeho serveru Logmanager.

  3. Pro aktivaci nastavení restartujte službu Rsyslog příkazem:

    service rsyslog restart

Soubory s logy

Rsyslog umožňuje monitorování jednotlivých souborů s logy.

Monitorování jednoho log souboru

  1. Pro monitorování jednoho log souboru vytvořte konfigurační soubor /etc/rsyslog.d/file1.conf

  2. Vložte do něj následující kód:

    $ActionQueueType LinkedList # use asynchronous processing
# set file name, also enables disk mode,
# this value must be unique inside all configs
$ActionQueueFileName srvrfwd
$ActionResumeRetryCount -1 # infinite retries on insert failure
$ActionQueueSaveOnShutdown on # save in-memory data if rsyslog shuts down
# max limit the number of messages that queue can contain
$ActionQueueSize 10000
$ActionQueueMaxFileSize 10M # limit the size of queue buffer on disk
$ModLoad imfile # needs to be done just once

# File 1
$InputFileName /var/log/file1 # path to log file
$InputFileTag tag1: # identification of process
$InputFileStateFile stat-file1

$InputFileSeverity error # severity level
$InputFileFacility local7 # facility level
$InputRunFileMonitor

if $programname == 'tag1' then @@<Logmanager_IP_address>:514
    Logmanager_IP_address je IP adresa vašeho serveru Logmanager.

  3. Pro aktivaci nastavení restartujte službu Rsyslog příkazem:

    ervice rsyslog restart

Monitorování více log souborů

  1. Pro monitorování více log souborů vytvořte konfigurační soubor /etc/rsyslog.d/files.conf

  2. Vložte do něj následující kód:

    $ActionQueueType LinkedList # use asynchronous processing
# set file name, also enables disk mode,
# this value must be unique inside all configs
$ActionQueueFileName srvrfwd
$ActionResumeRetryCount -1 # infinite retries on insert failure
$ActionQueueSaveOnShutdown on # save in-memory data if rsyslog shuts down
# max limit the number of messages that queue can contain
$ActionQueueSize 10000
$ActionQueueMaxFileSize 10M # limit the size of queue buffer on disk
$ModLoad imfile # needs to be done just once

# File 1
$InputFileName /var/log/file1 # path to log file 1
$InputFileTag tag1: # identification of process
$InputFileStateFile stat-file1

$InputFileSeverity error # severity level
$InputFileFacility local7 # facility level
$InputRunFileMonitor

if $programname == 'tag1' then @@<Logmanager_IP_address>:514


# File 2
$InputFileName /path/to/file2 # path to log file 2
$InputFileTag tag2: # identification of process
$InputFileStateFile stat-file2

$InputRunFileMonitor

# Only entered once in case of following multiple files
# This will poll the file every 10 seconds
$InputFilePollingInterval 10

if $programname == 'tag2' then @@<Logmanager_IP_address>:514
    Logmanager_IP_address je IP adresa vašeho serveru Logmanager.

  3. Pro aktivaci nastavení restartujte službu Rsyslog příkazem:

    service rsyslog restart

Monitorování jedné služby

  1. V adresáři /etc/rsyslog.d vytvořte konfigurační soubor lm_<program_name>.conf

  2. Vložte do něj následující kód:

    $ModLoad imuxsock # local message reception
$ActionQueueType LinkedList # use asynchronous processing
# set file name, also enables disk mode,
# this value must be unique inside all configs
$ActionQueueFileName srvrfwd
$ActionResumeRetryCount -1 # infinite retries on insert failure
$ActionQueueSaveOnShutdown on # save in-memory data if rsyslog shuts down
# max limit the number of messages that queue can contain
$ActionQueueSize 10000
$ActionQueueMaxFileSize 10M # limit the size of queue buffer on disk

if $programname == '<program_name>' then @@<Logmanager_IP_address>:514
    Logmanager_IP_address je IP adresa vašeho serveru Logmanager.
    program_name nahraďte požadovaným jménem programu, například sshd pro monitorování přístupů přes SSH daemona.

  3. Pro aktivaci nastavení restartujte službu Rsyslog příkazem:

    service rsyslog restart

Monitorování facility a severity

  1. V adresáři /etc/rsyslog.d vytvořte konfigurační soubor lm_<facility>.conf

  2. Vložte do něj následující kód:

    $ModLoad imuxsock # local message reception
$ActionQueueType LinkedList # use asynchronous processing
# set file name, also enables disk mode,
# this value must be unique inside all configs
$ActionQueueFileName srvrfwd
$ActionResumeRetryCount -1 # infinite retries on insert failure
$ActionQueueSaveOnShutdown on # save in-memory data if rsyslog shuts down
# max limit the number of messages that queue can contain
$ActionQueueSize 10000
$ActionQueueMaxFileSize 10M # limit the size of queue buffer on disk

# monitorovat pouze úroveň info
*.=info     @@<Logmanager_IP_address>:514

# nebo monitorovat úroveň info a vyšší
*.info     @@<Logmanager_IP_address>:514

# nebo monitorovat konkrétní facilitu a severitu:
mail.=info     @@<Logmanager_IP_address>:514
    Logmanager_IP_address je IP adresa vašeho serveru Logmanager.
    facility nahraďte požadovanou facilitou nebo severitou, například info pro monitorování informativní úrovně zpráv.

  3. Pro aktivaci nastavení restartujte službu Rsyslog příkazem:

    service rsyslog restart

RELP

RELP (Reliable Event Logging Protocol) rozšiřuje funkcionalitu Syslog protokolu tím, že doručuje zprávy na server spolehlivě, to znamená, že doručení zprávy je serverem potvrzeno. Z důvodu vyšší spolehlivosti doporučujeme RELP používat pro přenos zpráv na server Logmanager.

Pro podporu RELP ve službě Rsyslog je potřeba mít nainstalovaný balíček rsyslog-relp.
V některých specifických případech může dojít ke ztrátě dat i v případě použití RELP.

Nastavení pro použití RELP

Všechny výše uvedené příklady zůstávají v platnosti. Postupujte dle následujících kroků:

  1. Do konfiguračních souborů doplňte tento řádek:

    $ModLoad omrelp

  2. Nahraďte tento výraz v konfiguraci:

    @@<Logmanager_IP_address>:514

    novým výrazem:

    :omrelp:<Logmanager_IP_address>:20514
    Logmanager_IP_address je IP adresa vašeho serveru Logmanager.

  3. Pro aktivaci nastavení restartujte službu Rsyslog příkazem:

    service rsyslog restart

Kompletní ukázka použití RELP 

$ModLoad omrelp # use RELP
$ModLoad imuxsock # local message reception
$ActionQueueType LinkedList # use asynchronous processing
# set file name, also enables disk mode,
# this value must be unique inside all configs
$ActionQueueFileName srvrfwd
$ActionResumeRetryCount -1 # infinite retries on insert failure
$ActionQueueSaveOnShutdown on # save in-memory data if rsyslog shuts down
# max limit the number of messages that queue can contain
$ActionQueueSize 10000
$ActionQueueMaxFileSize 10M # limit the size of queue buffer on disk

*.* :omrelp:<Logmanager_IP_address>:20514
Logmanager_IP_address je IP adresa vašeho serveru Logmanager.

Nastavení pro použití RELP se zabezpečením TLS

Pro nastavení logování pomocí protokolu RELP se šifrováním TLS postupujte podle následujících kroků:

  1. Do konfiguračních souborů doplňte tento řádek:

    $ModLoad omrelp

  2. Nahraďte tento výraz v konfiguraci:

    @@<Logmanager_IP_address>:514

    novým výrazem:

    action(type="omrelp" target="<Logmanager_IP_address>" port="20515" tls="on")
    Logmanager_IP_address je IP adresa vašeho serveru Logmanager.

  3. Pro aktivaci nastavení restartujte službu Rsyslog příkazem:

    service rsyslog restart

Alternativa logování pomocí TLS syslog protokol

  1. Nejprve je nutné instalovat balíčet rsyslog-gnutls, zadejte příkaz:

    Debian – sudo apt-get install rsyslog-gnutls
CentOS – sudo yum install rsyslog-gnutls

  2. Zkopírovat na server veřejný certifikát CA (ve formátu .crt) a uložit např. do /etc/ssl/certs/ca-certifikat.crt

  3. Vytvořit soubor /etc/rsyslog.d/lm-forward_tls.conf

  4. Vložte do něj následující kód:

    $DefaultNetstreamDriverCAFile /etc/ssl/certs/ca-certifikát.crt
action(type="omfwd"
   protocol="tcp"
   target="<Logmanager_IP_address>"
   port="6514
   StreamDriver="gtls"
   StreamDriverMode="1"
   StreamDriverAuthMode="x509/name"
   StreamDriverPermittedPeers="<hostname/IP zadaná v CN certifikátu>"
)

  5. Pro aktivaci nastavení restartujte službu Rsyslogu příkazem:

    sudo service rsyslog restart