LINUX

Cómo configurar un servidor Syslog centralizado en Red Hat Linux

0 168 1 minuto de lectura

Los registros del servidor se convierten en puntos clave de resolución de problemas esenciales para los administradores del sistema cuando se produce un problema. De forma predeterminada, todos los registros de los servidores basados ​​en RHEL se almacenan en el directorio / var / log. El demonio syslog se puede configurar para enviar registros a un servidor Syslog remoto, ese servidor también se puede configurar para recibir registros de otros hosts.

Almacenar registros en una ubicación centralizada se vuelve útil cuando tiene cientos de servidores en su organización. También ayuda a rastrear a los intrusos que iniciaron sesión en un sistema comprometido y eliminaron los registros locales pensando que pueden escapar y no dejar ningún rastro. Brinda a los administradores de sistemas un lugar centralizado para monitorear los registros de todos los servidores.

En este artículo, configuraré Rsyslog en el servidor RHEL 6, que es el demonio syslog, para recibir registros de las máquinas cliente. También configuraré una máquina cliente que enviará sus registros a este servidor syslog centralizado. Los registros se pueden enviar a través de TCP y UDP. Usaré UDP en este artículo.

Antes de comenzar, asegúrese de que el puerto 514 está permitido en el servidor syslog centralizado.

Abra el archivo / etc / sysconfig / iptables en un editor de texto.

Agregue una regla INPUT que permita el tráfico UDP en el puerto 514 al archivo. La nueva regla debe aparecer antes de las reglas de ENTRADA que RECHAZAN el tráfico.

-A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT

Guarde los cambios en el archivo / etc / sysconfig / iptables y reinicie el servicio.

# service iptables restart

Configuración centralizada del servidor Syslog

Abra /etc/rsyslog.conf y descomente la siguiente línea Para aceptar mensajes usando UDP.

$ModLoad imudp
$UDPServerRun 514

Coloque estas líneas al final del archivo, rsyslogd creará una carpeta como el nombre de host del cliente en el directorio / var / log / para cada cliente monitoreado.

$template TmplAuth, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?TmplAuth

Reinicie el servicio rsyslog

# service rsyslogd restart

Configuración del cliente

La máquina cliente se puede configurar para enviar registros a través de TCP y UDP; ambos ejemplos se muestran a continuación. La configuración del servidor rsyslog se puede realizar de la siguiente manera.

En el cliente, abra /etc/rsyslog.conf e ingrese el nombre: puerto del servidor rsyslog centralizado.

*.* @<ip address>:514

Donde *. * Significa todos los registros, una sola «@» significa UDP, dirección IP o nombre de host del servidor syslog centralizado y número de puerto.

Si desea utilizar TCP en lugar de UDP, puede colocar lo siguiente. La única diferencia es el anuncio extra «@»

*.* @@<ip address>:514

Reinicie el servidor syslog y listo.

 # service rsyslogd restart

Habrá una carpeta creada en / var / log como el nombre de host del cliente y todos los archivos de registro para ese host se enviarán allí. Puede configurar la rotación de registros después de eso para administrar los archivos de registro periódicamente.

Publicaciones relacionadas

5 consejos para solucionar problemas de arranque en Linux

Comando de CD de Linux con 10 ejemplos

Cómo utilizar los comandos SSH en el símbolo del sistema de Windows 10

Mosh Tool: una opción alternativa para SSH y cómo usarla

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar