Rsyslog - Configurando o Centralizador de Logs

Esse artigo tem a finalidade de orientar as simples configurações de um centralizador de LOGS "rsyslog" para facilitar seu dia a dia de coletas de logs em um ambiente de médio porte.

[ Hits: 45.652 ]

Por: Carolina Robles das Neves em 17/07/2015 | Blog: https://www.linkedin.com/in/carolina-robles-das-neves-933289100/


Configurar cliente para envio de logs



1. Conecte no servidor cliente e instale o pacote do syslog novamente, após, edite o arquivo do rsyslog que encontra-se em /etc/rsyslog.conf:

# yum install -y rsyslog

Edite o arquivo:

# vim /etc/rsyslog.conf

2. No final do arquivo adicione as facility e level que você deseja enviar para o servidor syslog em seguida adicione o @ipadress ou @hostname do servidor de logs.

Dica para o editor VIM: Pressione a tecla Shift + G para ir até o final do arquivo.

Exemplo:

*.info;mail.none;authpriv.none;cron.none   @192.168.0.100  

Na linha acima estou adicionado todas as facilities da distribuição com o level info (*.info), ou seja, ele vai capturar o nível de informação e o que estiver acima de informação (info, notice,warning, error, critical,alert, emerfency), conforme a tabela abaixo.

Observação: Se eu escrevesse *=info significaria que seria todas as facilities somente do level de INFORMAÇÃO.

O ";" no exemplo acima está somente separando as exceções que eu criei.

mail.nome - Nesse caso, estou dizendo que a facility mail não monitora nenhum level, ou seja, não envie nenhum log dessa facility.

Lista dos níveis/gravidades:
 
0       Emergency: system is unusable
1       Alert: action must be taken immediately
2       Critical: critical conditions
3       Error: error conditions
4       Warning: warning conditions
5       Notice: normal but significant condition
6       Informational: informational messages
7       Debug: debug-level messages

Observação: Adicione as facilities e level conforme a sua necessidade.

3. Salve e feche o arquivo.

Dica do editor VIM: para salvar e sair do arquivo, aperte a tecla ESC digite :wq!

4. Reinice o serviço do rsyslog:

# systemctl restart rsyslog.service

Obs.: em ambientes de produção são habilitados firewall de hardware, para impedir de abrir o TCP e UDP 514.

Se você tiver o iptables habilitado, execute o seguinte comando no servidor, a fim de aceitar tráfego de entrada na porta UDP / TCP 514.

# firewall-cmd --permanent --zone=public --add-port=514/tcp
# firewall-cmd --permanent --zone=public --add-port=514/udp
# firewall-cmd --reload


5. Para checar se a porta foi aberta, utilize o telnet:

# telnet 192.168.0.100 514
(IP do seu servidor syslog + a porta do rsyslog)

Resultado:

Trying 192.168.0.100...
Connected to 192.168.0.100.
Escape character is '^]'.

Conecte no seu servidor syslog e verifique se o mesmo já está capturando os LOGS desse cliente adicionado.

# tail -f /var/log/messages
Jul 10 18:01:01 servidor-abobora systemd: Started Session 34414 of user root.
Jul 10 18:01: servidor-abobora CROND[15612]: (root) CMD (run-parts /etc/cron.hourly)
Jul 10 18:01:01 servidor-abobora run-parts(/etc/cron.hourly)[1561 starting 0anacron
Jul 10 18:01:01 servidor-abobora run-parts(/etc/cron.hourly)[1562 finished 0anacron
Jul 10 18:01:01 servidor-abobora run-parts(/etc/cron.hourly)[1561 starting 0yum-hourly.cron
Jul 10 18:01:01 servidor-abobora run-parts(/etc/cron.hourly)[1562 finished 0yum-hourly.cron
Jul 10 18:01:02 prod1-sgi sudo: zabbix : TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/opt/jboss/bin/jboss-cli.sh -c /core-service=platform-mbean/type=memory:read-attribute(name=heap-memory-usage)

Página anterior    

Páginas do artigo
   1. Instalando e configurando servidor Syslog e cliente - CentOS 7
   2. Configurar cliente para envio de logs
Outros artigos deste autor

Principais Processos em Background do Banco de Dados Oracle

Configurando hostname, rotas, gateway e IP em Red Hat 6

Expandindo partição em LVM

Memórias Database Oracle (SGA x PGA) - Entenda a diferença e como calcular a HugePages

Criação de usuário, grupo e permissão

Leitura recomendada

Instalação da placa Gigabit 8111/8168B

GPT - Guid Partition Table

Tutorial de instalação e pós-instalação do openSUSE Leap 42.2

Instalação do cliente no-ip no Debian

Instalando e configurando o PostgreSQL

  
Comentários
[1] Comentário enviado por EddyBin em 20/07/2015 - 19:26h

Boa noite Carolina.

Muito bom o artigo, meus parabéns, obrigado por compartilhar o conhecimento.

Att,
Edir

[2] Comentário enviado por rogerio179 em 24/07/2015 - 13:35h

Parabéns otimo tutorial,continue assim ..

Rogerio Sp

[3] Comentário enviado por Tacioandrade em 25/07/2015 - 02:05h

Já fiz a instalação do rsyslog e achei bem interessante, uma pena que não consegui colocar um cliente Windows Server para jogar os logs de logon e logoff (além de outras informações) de formas concisas no rsyslog, por esse motivo não entrou em produção ainda. =/

Caso consiga isso dai de forma funcional e puder compartilhar agradeço (não estou pesquisando o mesmo pois estou com 2 projetos em andamento).

Agora só uma dica, recomendo o teste do splunk (a versão free mesmo) para análise de log, ele ajuda bastante a encontrar informações dentro do mar de infos que o rsyslog nos entrega. =)

Att. Tácio Andrade.

[4] Comentário enviado por Lwkas em 27/07/2015 - 13:48h


Artigo extremmente útil hehehe Obrigado

[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h


[3] Comentário enviado por Tacioandrade em 25/07/2015 - 02:05h

Já fiz a instalação do rsyslog e achei bem interessante, uma pena que não consegui colocar um cliente Windows Server para jogar os logs de logon e logoff (além de outras informações) de formas concisas no rsyslog, por esse motivo não entrou em produção ainda. =/

Caso consiga isso dai de forma funcional e puder compartilhar agradeço (não estou pesquisando o mesmo pois estou com 2 projetos em andamento).

Agora só uma dica, recomendo o teste do splunk (a versão free mesmo) para análise de log, ele ajuda bastante a encontrar informações dentro do mar de infos que o rsyslog nos entrega. =)

Att. Tácio Andrade.


Olá,

Tácio,

Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..

Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?



Att,

[6] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:58h


[1] Comentário enviado por EddyBin em 20/07/2015 - 19:26h

Boa noite Carolina.

Muito bom o artigo, meus parabéns, obrigado por compartilhar o conhecimento.

Att,
Edir


Obrigada pelo feedback.

[7] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:58h


[2] Comentário enviado por rogerio179 em 24/07/2015 - 13:35h

Parabéns otimo tutorial,continue assim ..

Rogerio Sp


Obrigada pelo feedback!

[8] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:58h


[4] Comentário enviado por Lwkas em 27/07/2015 - 13:48h


Artigo extremmente útil hehehe Obrigado


Obrigada pelo feedback!

[9] Comentário enviado por Tacioandrade em 27/07/2015 - 20:32h


[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h

Olá,

Tácio,

Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..

Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?

Att,


Pronto vou dar uma boa olhada no seu artigo sim, pois é sempre bom conhecer outras soluções para implementar a que melhor se enquadra no seu ambiente.

E sobre o cliente para o Windows eu instalei ele normalmente e o envio das informações para o rsyslog funcionava, porem o filtro que acabei não conseguindo configurar. No meu caso o que queria no momento era apenas o login e logout e futuramente modificações em serviços como restart, instalação de novo serviço, etc, porem vinha todo tipo de informação inútil e o que eu queria não vinha (pois não encontrei no cliente o filtro específico para essas ações). Porem quando ia tentar novamente, pediram para parar o projeto e ir pra outro com maior prioridade e como sempre: "Manda quem pode, obedece quem tem juízo". rsrsrsrs

Acho que daqui para Setembro o projeto que estou se conclui (pois é algo grande e com pouco pessoal) e posso voltar a tentar concluir o syslog centralizado.

[10] Comentário enviado por xerxeslins em 28/07/2015 - 23:00h

muito interessante!

favoritado!

[11] Comentário enviado por carolinaneves22 em 29/07/2015 - 08:27h


[10] Comentário enviado por xerxeslins em 28/07/2015 - 23:00h

muito interessante!

favoritado!


Obrigada pelo feedback!

[12] Comentário enviado por carolinaneves22 em 29/07/2015 - 08:31h


[9] Comentário enviado por Tacioandrade em 27/07/2015 - 20:32h


[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h

Olá,

Tácio,

Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..

Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?

Att,

Pronto vou dar uma boa olhada no seu artigo sim, pois é sempre bom conhecer outras soluções para implementar a que melhor se enquadra no seu ambiente.

E sobre o cliente para o Windows eu instalei ele normalmente e o envio das informações para o rsyslog funcionava, porem o filtro que acabei não conseguindo configurar. No meu caso o que queria no momento era apenas o login e logout e futuramente modificações em serviços como restart, instalação de novo serviço, etc, porem vinha todo tipo de informação inútil e o que eu queria não vinha (pois não encontrei no cliente o filtro específico para essas ações). Porem quando ia tentar novamente, pediram para parar o projeto e ir pra outro com maior prioridade e como sempre: "Manda quem pode, obedece quem tem juízo". rsrsrsrs

Acho que daqui para Setembro o projeto que estou se conclui (pois é algo grande e com pouco pessoal) e posso voltar a tentar concluir o syslog centralizado.


Bom dia,

Tácio,

Eu não dei muita atenção para os filtros do windows também, creio que dê para monitorar logout e login sim.. Até me interessei em saber.. rs

Assim que sobrar um tempinho dou uma olhada nisso e compartilho contigo, ou até mesmo faço outro artigo.. Caso você consiga antes, compartilhe comigo.. =)

Att,

[13] Comentário enviado por Estudodasredes em 20/10/2017 - 01:04h

Oi tudo bem? Sou estudante de redes e criei um centralizador de logs como o do seu post e em seguida instalei um gerenciador para acesso via browser. Observei que ele está exibindo os logs do caminho /var/log/messages.
Neste caso é necessário rotacionar? Eu não entendi bem a logica do rotacionamento. Se já está sendo enviado para o caminho citado acima não poderá encher o disco da mesma forma mesmo seu criar um script com a linha Cat /origem | grep >> /saída e em seguida rotacionar?



[14] Comentário enviado por flaviotecnico em 12/05/2018 - 21:36h

Carolina, muito obrigado.
Tutorial simples e bom.
Abraço.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts