File
Log sangat penting dalam menyelidik dan memecahkan masalah kesalahan. Mereka adalah file pertama yang diperiksa oleh administrator sistem untuk mempersempit kemungkinan penyebab kesalahan dan dengan demikian, menghasilkan resolusi untuk menyelesaikan masalah. Dalam infrastruktur dengan puluhan atau ratusan server, dan perangkat lain, mengelola file log dapat menjadi suatu tantangan. Dan di sinilah rsyslog masuk.
Rsyslog adalah program logging opensource yang memfasilitasi penerusan file log ke server log terpusat di jaringan IP. Dengan logging terpusat, administrator dapat dengan mudah mengawasi file log dari beberapa sistem dari titik pusat. Dalam posting ini, kami akan memandu Anda melalui instalasi dan konfigurasi Server Rsyslog di Debian 11.
Lab Setup
Untuk mendemonstrasikan bagaimana Rsyslog dapat digunakan untuk mengirim file log dari sistem klien ke server Rsyslog, kita akan memiliki setup Lab sederhana seperti yang ditunjukkan
Rsyslog server: Debian 11 IP: 192.168.1.151Klien Rsyslog: Ubuntu 20.04 IP: 10.20.0.170
Langkah 1) Konfigurasikan Rsyslog pada server
nbsyslog server
Seperti yang disebutkan di awal, konfigurasi Rsyslog klien akan dijalankan di Rsyslog server Server Debian11. Pada Debian 11, Rsyslog terinstal secara default. Jika karena alasan tertentu Rsyslog tidak ada, Anda dapat menginstalnya menggunakan perintah:
$ sudo apt install -y rsyslog
Setelah instalasi Anda dapat memeriksa status berjalannya sebagai berikut:
$ sudo systemctl status rsyslog
Selanjutnya, kita akan mengkonfigurasi rsyslog untuk dijalankan di server mode. File konfigurasi adalah file /etc/rsyslog.conf. Jadi, edit menggunakan editor teks pilihan Anda.
$ sudo vi /etc/rsyslog.conf
Lanjutkan dan batalkan komentar pada baris berikut yang memungkinkan penerimaan syslog UDP dan TCP dari klien jarak jauh.
# menyediakan modul penerimaan syslog UDP(load=”imudp” ) input(type=”imudp” port=”514″) # menyediakan modul penerimaan syslog TCP(load=”imtcp”) input(type=”imtcp” port=”514″)
Setelah itu, tempel baris berikut untuk menentukan template yang akan digunakan daemon Rsyslog untuk menyimpan log masuk dari sistem klien.
$template remote-incoming-logs,”/var/log/%HOSTNAME%/%PROGRAMNAME%.log” . ?remote-incoming-logs
File log akan menggunakan konvensi penamaan berikut:
/%HOSTNAME%/ – Ini adalah nama host sistem klien./%PROGRAMNAME%/ – Ini mengidentifikasi program klien yang membuat file log.
Untuk menerapkan perubahan, mulai ulang daemon rsyslog.
$ sudo systemctl restart rsyslog
Secara default, rsyslog mendengarkan port 514. Anda dapat mengonfirmasi bahwa ini adalah port yang didengarkan daemon rsyslog dengan menjalankan perintah ss.
$ sudo ss -tunlp | grep 514
Step 2) Konfigurasi aturan firewall agar daemon rsyslog
Rsyslog berjalan di server seperti yang diharapkan. Jika Anda menjalankan firewall UFW, pastikan untuk mengizinkan port 514 untuk mengizinkan pesan log masuk yang masuk.
$ sudo ufw allow 514/tcp $ sudo ufw allow 514/udp
Kemudian muat ulang firewall untuk menerapkan aturan firewall sebagai berikut.
$ sudo ufw reload
Langkah selanjutnya adalah mengkonfigurasi sistem klien Ubuntu untuk mengirim file log ke server rsyslog.
Langkah 3) Konfigurasi sistem klien rsyslog
Langkah terakhir adalah mengkonfigurasi sistem klien untuk mengirim file log ke server rsyslog. Masuk ke klien dan sekali lagi, pastikan bahwa daemon rsyslog telah terinstal dan berjalan.
Selanjutnya, edit file konfigurasi rsyslog.
$ sudo vi /etc/rsyslog.conf
Arahkan ke bagian paling akhir file dan tambahkan baris ini.
# Aktifkan pengiriman log sistem melalui UDP ke server rsyslog . @rsyslog-ip-address:514 #Aktifkan pengiriman log sistem melalui TCP ke server rsyslog . @@rsyslog-ip-address:514
Baris ini menginstruksikan klien untuk mengirim log file melalui protokol UDP dan TCP ke server rsyslog. Perhatikan bahwa baris pertama memiliki satu simbol @ yang menandakan UDP dan baris kedua memiliki dua simbol @@ untuk menandakan protokol TCP.
Jika server jarak jauh mengalami downtime dan Anda ingin mempertahankan log, Anda dapat menyetel buffer antrean disk dengan menambahkan baris yang ditampilkan.
##Setel antrean disk saat server rsyslog akan mati:
$ActionQueueFileName queue $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown pada $ActionQueueType LinkedList $ActionResumeRetryCount -1
di bawah ini adalah konfigurasi klien. berkas. Sekarang restart layanan rsyslog agar perubahan diterapkan.
$ sudo systemctl restart rsyslog
Pada titik ini, sistem klien harus mengirim file log ke server rsyslog. Mari kembali ke server dan cari tahu.
Step 4) Lihat file log Klien
Semua file log (termasuk server) disimpan di direktori /var/log/. Untuk melihat log klien, jalankan perintah berikut:
$ ls /var/log/
File log klien akan disimpan di direktori yang sesuai dengan nama host sistem klien seperti yang ditunjukkan di bawah ini.
Anda dapat melihat lebih lanjut file log yang ada di direktori log utama.
$ sudo ls -l /var/log/ubuntu-20-04/
Untuk melihat log secara real-time, gunakan perintah tail seperti yang ditunjukkan. Di sini, kita melihat logs.
$ pengguna sudo sudo tail -f /var/log/ubuntu-20-04/sudo.log
Kami telah berhasil menginstal rsyslog dan mengonfigurasinya untuk memungkinkan pengiriman file log ke server rsyslog dari sistem klien. Anda sekarang dapat mengonfigurasi sistem klien sebanyak yang Anda inginkan untuk mengirim log ke server rsyslog untuk mencapai struktur manajemen log terpusat. Silakan bagikan pertanyaan dan umpan balik Anda di bagian komentar di bawah ini.
Baca Juga : Cara Memutar dan Mengompresi File Log di Linux dengan Logrotate