중앙 집중식 로그 서버를 만드는 방법 7

Posted on by admin

시스템 관리자가 특정 기간 동안 시스템에서 발생한 이벤트를 알고 확인해야 합니다.

리눅스 시스템의 시스템 로그 서버는 특정 내부 문제 또는 정보 메시지와 관련된 모든 서버,네트워크 장치,라우터,스위치 및 로그를 생성하는 대부분의 내부 서비스가 로그를 보낼 수있는 네트워크를 통해 중앙 모니터링 지점을 작동 할 수 있습니다.기본 로그 서버가 미리 설치되어 있고,그 다음에 시스템 저널 데몬이(저널드다.)

클라이언트/서버 아키텍처 서비스로 빌드 중이며 두 역할을 동시에 수행할 수 있습니다. 이 서버로 실행하고 네트워크의 다른 장치에 의해 전송 된 모든 로그를 수집하거나 원격 엔드 포인트 시스템 로그 서버에 기록 된 모든 내부 시스템 이벤트를 전송하여 클라이언트로 실행할 수 있습니다.

클라이언트로 구성된 경우 로그는 로컬 파일 시스템의 파일에 로컬로 저장되거나 머신에 저장된 파일에 기록하거나 이벤트 로그 파일을 로컬로 작성하고 원격 시스템 로그 서버로 동시에 전송하는 대신 원격으로 보낼 수 있습니다.

시스템 로그 서버는 다음 구성표를 사용하여 모든 로그 메시지를 작동합니다:

type (facility).priority (severity) destination(where to send the log)

에이. 시설 또는 형식 데이터는 메시지를 생성하는 내부 시스템 프로세스로 표시됩니다. 리눅스에서 로그를 생성하는 내부 프로세스(시설)는 다음과 같이 표준화됩니다:

  • 인증=인증 프로세스(로그인)에 의해 생성 된 메시지.
  • 크론=예약 된 프로세스에 의해 생성 된 메시지(크론 탭).
  • 데몬=데몬(내부 서비스)에 의해 생성 된 메시지.
  • 커널=리눅스 커널 자체에 의해 생성 된 메시지.
  • 메일=메일 서버에서 생성된 메시지입니다.
  • 시스템 로그=알 로그 데몬 자체에 의해 생성 된 메시지.
  • 로컬 프린터 또는 인쇄 서버에서 생성된 메시지입니다.
  • 로컬 0–로컬 7=관리자가 정의한 사용자 지정 메시지.

나.우선 순위(심각도)수준도 표준화됩니다. 각 우선 순위는 아래에 설명 된대로 표준 약어 및 숫자로 할당됩니다. 일곱 번째 우선 순위는 모두의 높은 수준입니다.경고=경고–1

  • 오류=오류–3
  • 경고=경고–4
  • 알림=알림–5
  • 정보=정보-6
  • 디버그=디버깅– 7

    • 키워드:

    • * = 모든 시설 또는 우선 순위
    • 없음=시설에 주어진 우선 순위가 없습니다(예:메일).시스템 로그 스키마의 세 번째 부분은 대상 지시문으로 표시됩니다. 이 프로그램은 자바 바이트코드 프로그램의 갯수를 카운트하고,스크립트의 메인 형식을 합계냅니다,그리고 확인되지 않은 실행 텍스트 파일을 찾습니다..로그파일이 기록되는 파티션이 다른 디바이스에서 전송되는 모든 로그파일을 저장할 수 있을 만큼 충분히 큰지 확인해야 합니다. 별도의 드라이브를 사용하여 로그 디렉토리를 마운트하는 것이 좋습니다.설치 절차 7.3 설치 절차

      • 1. 이 서비스는 자동으로 설치되고 실행되어야 합니다. 시스템에서 데몬이 시작되었는지 확인하려면 다음 명령을 루트 권한으로 실행합니다. 

      # systemctl status rsyslog.service
      서비스가 기본적으로 실행되고 있지 않으면 아래 명령을 실행하여 로그 데몬을 시작합니다. 

      # systemctl start rsyslog.service

      2. 중앙 로깅 서버로 사용하려는 시스템에 설치되지 않은 경우 다음 명령을 실행하여 패키지를 설치합니다.

      # yum install rsyslog

      3. 우리는 중앙 집중식 로그 서버로 알 로그 데몬을 구성하기 위해 시스템에서해야 할 첫 번째 단계,그래서 외부 클라이언트에 대한 로그 메시지를 수신 할 수 있습니다,당신의 마음에 드는 텍스트 편집기를 사용하여 열고 편집하는 것입니다,에서 주요 구성 파일/기타/알 로그.아래 발췌문에 제시된 바와 같이.

      # vi /etc/rsyslog.conf

      514 포트를 통해

      # vi /etc/rsyslog.conf

      이것은 수학적으로 정확한 유형 계층구조인,강력한 타입을 정의합니다.

      $ModLoad imudp $UDPServerRun 514
      4712><figcaption>구성</figcaption></figure><p>4. 따라서 데이터 전송 속도가 더 빨라집니다. 다른 한편으로,데이터 전송 프로토콜은 전송된 데이터의 신뢰성을 보장하지 않는다.</p><p>514 포트에서 소켓을 바인딩하고 수신하도록 구성하기 위해 이 패키지에는 주 프로그램 바이너리와 미리 컴파일된 대수 및 자동 로드 모듈이 전부 들어있습니다.</p> <pre>$ModLoad imtcp $InputTCPServerRun 514 </pre> <p>5. 다음 단계에서는 파일을 아직 닫지 말고 원격 메시지를 받는 데 사용할 새 템플릿을 만듭니다. 이 템플릿은 시스템 로그 네트워크 클라이언트에서 보내는 수신된 메시지를 저장할 위치를 로컬 알시 로그 서버에 지시합니다. 아래 발췌문에 나와 있는 대로 전역 지시문 블록의 시작 전에 템플릿을 추가해야 합니다.</p> <pre>$template RemoteLogs,

      2518><figcaption></figcaption></figure><p>위의$템플릿 원격 로그 지시문은 클라이언트 시스템 이름 및 원격 클라이언트 기능(응용 프로그램)을 기반으로 받은 모든 로그 메시지를 고유 파일에 수집하여 쓰도록 지시합니다.</p><p>이 모든 로그 파일들은 로컬 파일시스템에 클라이언트 시스템의 호스트명의 이름을 따서 명명된 전용 파일에 기록되고,로그 디렉토리에 저장된다.</p><p>&~리디렉션 규칙은 수신된 로그 메시지 처리를 더 이상 중지하고 메시지를 삭제하도록 지시합니다(내부 로그 파일에 쓰지 않음).</p><p>원격 로그 이름은 이 템플릿 지시문에 지정된 임의의 이름입니다. 당신은 당신이 당신의 템플릿에 가장 적합한 찾을 수있는 어떤 이름을 사용할 수 있습니다.</p><p>클라이언트로부터 받은 모든 메시지를 원격 클라이언트의 주소에 따라 명명된 단일 로그 파일에 기록하려면 메시지를 생성한 기능을 필터링하지 않고 아래 발췌를 사용합니다.</p><pre>$template FromIp,

      인증 기능 플래그가 있는 모든 메시지가 템플릿에 기록되는 템플릿의 또 다른 예입니다.

      $template TmplAuth, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log" authpriv.* ?TmplAuth

      아래는 발췌 한 양식입니다.:

      template(name="TmplMsg" type="string" string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log" )

      위의 템플릿 발췌는 다음과 같이 쓸 수 있습니다:

      template(name="TmplMsg" type="list") { constant(value="/var/log/remote/msg/") property(name="hostname") constant(value="/") property(name="programname" SecurePath="replace") constant(value=".log") }

      명령 또는 온라인 문서를 참조하십시오.

      6. 다음 명령을 실행하여 변경 내용을 적용하려면:

      # service rsyslog restart

      7. 이제 로그 서버는 중앙 집중식 로그 서버를 작동시키고 시스템 로그 클라이언트의 메시지를 기록하도록 구성되어야 합니다. 네트워크 소켓을 확인하려면 루트 권한으로 명령을 실행하고 그렙을 사용하여 로그 문자열을 필터링합니다.

      # netstat -tulpn | grep rsyslog
      네트워크 소켓 확인

      8. 네트워크 소켓 유형에 따라 셀리눅스 트래픽을 허용하도록 구성하려면 다음 명령을 실행합니다.

      # semanage -a -t syslogd_port_t -p udp 514# semanage -a -t syslogd_port_t -p tcp 514

      9. 방화벽이 활성화되어 있고 활성화되어 있는 경우 아래 명령을 실행하여 방화벽에서 로그 포트를 여는 데 필요한 규칙을 추가합니다.

      # firewall-cmd --permanent --add-port=514/tcp# firewall-cmd --permanent --add-port=514/udp# firewall-cmd –reload

      그게 다야! 이제 서버 모드로 구성되었으며 원격 클라이언트에서 로그를 중앙 집중화할 수 있습니다. 다음 글에서,우리는 구성 방법을 볼 수 있습니다.

      원격 로그 메시지의 중앙 모니터링 지점으로 로그 서버 사용 시스템이 충돌하거나 공격을 받을 때 로그 파일을 검사하고 클라이언트 상태를 관찰하거나 클라이언트 문제를 보다 쉽게 디버깅할 수 있습니다.

    답글 남기기

    이메일 주소는 공개되지 않습니다.