Rsyslog - Configurando o Centralizador de Logs
Esse artigo tem a finalidade de orientar as simples configurações de um centralizador de LOGS "rsyslog" para facilitar seu dia a dia de coletas de logs em um ambiente de médio porte.
[ Hits: 45.565 ]
Por: Carolina Robles das Neves em 17/07/2015 | Blog: https://www.linkedin.com/in/carolina-robles-das-neves-933289100/
Instalando e configurando servidor Syslog e cliente - CentOS 7
Observação.: Toda a instalação e configuração foi efetuada com o usuário root.
1. Instale o pacote do rsyslog:
# yum install rsyslog
Obs.: você pode usar o parâmetro "-y" para forçar a instalação sem perguntar novamente:
# yum install -y rsyslog
2. Vamos editar o arquivo do rsyslog que encontra-se em: /etc/rsyslog.conf
Abra o arquivo com seu editor de texto favorito. Eu irei usar o editor vim (caso queira usar o vim e não tem o pacote instalado, insira o comando:
# yum install -y vim
Edite o arquivo:
# vim /etc/rsyslog.conf +15
Dica para o editor vim: o sinal de "+15" após o comando é para ir até a linha 15 do arquivo, linha que vamos descomentar.
3. Descomente as linhas 15 e 16 do arquivo, habilitando o servidor syslog a escutar na porta 514.
Exemplo:
Arquivo original:
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
Arquivo editado:
4. Reinicie o serviço do rsyslog:
# systemctl restart rsyslog.service
5. Verifique se o servidor syslog está escutando na porta 514 conforme configuramos:
# netstat -nltp | grep 514
1. Instale o pacote do rsyslog:
# yum install rsyslog
Obs.: você pode usar o parâmetro "-y" para forçar a instalação sem perguntar novamente:
# yum install -y rsyslog
2. Vamos editar o arquivo do rsyslog que encontra-se em: /etc/rsyslog.conf
Abra o arquivo com seu editor de texto favorito. Eu irei usar o editor vim (caso queira usar o vim e não tem o pacote instalado, insira o comando:
# yum install -y vim
Edite o arquivo:
# vim /etc/rsyslog.conf +15
Dica para o editor vim: o sinal de "+15" após o comando é para ir até a linha 15 do arquivo, linha que vamos descomentar.
3. Descomente as linhas 15 e 16 do arquivo, habilitando o servidor syslog a escutar na porta 514.
Exemplo:
Arquivo original:
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
Arquivo editado:
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
4. Reinicie o serviço do rsyslog:
# systemctl restart rsyslog.service
5. Verifique se o servidor syslog está escutando na porta 514 conforme configuramos:
# netstat -nltp | grep 514
tcp 0 0 0.0.0.0:514 0.0.0.0:* OUÇA 616/rsyslogd tcp6 0 0 :::514 :::* OUÇA 616/rsyslogdOK! Seu servidor syslog já está configurado. Vamos configurar o cliente para envio de logs.
Páginas do artigo
1. Instalando e configurando servidor Syslog e cliente - CentOS 72. Configurar cliente para envio de logs
Outros artigos deste autor
Criação de usuário, grupo e permissão
Principais Processos em Background do Banco de Dados Oracle
Personalizando o servidor centralizador de logs com rotate, script e crontab
Memórias Database Oracle (SGA x PGA) - Entenda a diferença e como calcular a HugePages
Leitura recomendada
Configurando o D-Link DSL-210 no Debian Etch
Fedorinha, fedorão: comandinhos de montão
Configuração de Servidor BIND 9
Agendando tarefas em Linux/Unix usando o cron
Comentários
[1] Comentário enviado por EddyBin em 20/07/2015 - 19:26h
Boa noite Carolina.
Muito bom o artigo, meus parabéns, obrigado por compartilhar o conhecimento.
Att,
Edir
Boa noite Carolina.
Muito bom o artigo, meus parabéns, obrigado por compartilhar o conhecimento.
Att,
Edir
[2] Comentário enviado por rogerio179 em 24/07/2015 - 13:35h
Parabéns otimo tutorial,continue assim ..
Rogerio Sp
Parabéns otimo tutorial,continue assim ..
Rogerio Sp
[3] Comentário enviado por Tacioandrade em 25/07/2015 - 02:05h
Já fiz a instalação do rsyslog e achei bem interessante, uma pena que não consegui colocar um cliente Windows Server para jogar os logs de logon e logoff (além de outras informações) de formas concisas no rsyslog, por esse motivo não entrou em produção ainda. =/
Caso consiga isso dai de forma funcional e puder compartilhar agradeço (não estou pesquisando o mesmo pois estou com 2 projetos em andamento).
Agora só uma dica, recomendo o teste do splunk (a versão free mesmo) para análise de log, ele ajuda bastante a encontrar informações dentro do mar de infos que o rsyslog nos entrega. =)
Att. Tácio Andrade.
Já fiz a instalação do rsyslog e achei bem interessante, uma pena que não consegui colocar um cliente Windows Server para jogar os logs de logon e logoff (além de outras informações) de formas concisas no rsyslog, por esse motivo não entrou em produção ainda. =/
Caso consiga isso dai de forma funcional e puder compartilhar agradeço (não estou pesquisando o mesmo pois estou com 2 projetos em andamento).
Agora só uma dica, recomendo o teste do splunk (a versão free mesmo) para análise de log, ele ajuda bastante a encontrar informações dentro do mar de infos que o rsyslog nos entrega. =)
Att. Tácio Andrade.
[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h
[3] Comentário enviado por Tacioandrade em 25/07/2015 - 02:05h
Já fiz a instalação do rsyslog e achei bem interessante, uma pena que não consegui colocar um cliente Windows Server para jogar os logs de logon e logoff (além de outras informações) de formas concisas no rsyslog, por esse motivo não entrou em produção ainda. =/
Caso consiga isso dai de forma funcional e puder compartilhar agradeço (não estou pesquisando o mesmo pois estou com 2 projetos em andamento).
Agora só uma dica, recomendo o teste do splunk (a versão free mesmo) para análise de log, ele ajuda bastante a encontrar informações dentro do mar de infos que o rsyslog nos entrega. =)
Att. Tácio Andrade.
Olá,
Tácio,
Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..
Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?
Att,
[3] Comentário enviado por Tacioandrade em 25/07/2015 - 02:05h
Já fiz a instalação do rsyslog e achei bem interessante, uma pena que não consegui colocar um cliente Windows Server para jogar os logs de logon e logoff (além de outras informações) de formas concisas no rsyslog, por esse motivo não entrou em produção ainda. =/
Caso consiga isso dai de forma funcional e puder compartilhar agradeço (não estou pesquisando o mesmo pois estou com 2 projetos em andamento).
Agora só uma dica, recomendo o teste do splunk (a versão free mesmo) para análise de log, ele ajuda bastante a encontrar informações dentro do mar de infos que o rsyslog nos entrega. =)
Att. Tácio Andrade.
Olá,
Tácio,
Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..
Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?
Att,
[6] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:58h
[1] Comentário enviado por EddyBin em 20/07/2015 - 19:26h
Boa noite Carolina.
Muito bom o artigo, meus parabéns, obrigado por compartilhar o conhecimento.
Att,
Edir
Obrigada pelo feedback.
[1] Comentário enviado por EddyBin em 20/07/2015 - 19:26h
Boa noite Carolina.
Muito bom o artigo, meus parabéns, obrigado por compartilhar o conhecimento.
Att,
Edir
Obrigada pelo feedback.
[7] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:58h
[2] Comentário enviado por rogerio179 em 24/07/2015 - 13:35h
Parabéns otimo tutorial,continue assim ..
Rogerio Sp
Obrigada pelo feedback!
[2] Comentário enviado por rogerio179 em 24/07/2015 - 13:35h
Parabéns otimo tutorial,continue assim ..
Rogerio Sp
Obrigada pelo feedback!
[8] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:58h
[4] Comentário enviado por Lwkas em 27/07/2015 - 13:48h
Artigo extremmente útil hehehe Obrigado
Obrigada pelo feedback!
[4] Comentário enviado por Lwkas em 27/07/2015 - 13:48h
Artigo extremmente útil hehehe Obrigado
Obrigada pelo feedback!
[9] Comentário enviado por Tacioandrade em 27/07/2015 - 20:32h
[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h
Olá,
Tácio,
Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..
Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?
Att,
Pronto vou dar uma boa olhada no seu artigo sim, pois é sempre bom conhecer outras soluções para implementar a que melhor se enquadra no seu ambiente.
E sobre o cliente para o Windows eu instalei ele normalmente e o envio das informações para o rsyslog funcionava, porem o filtro que acabei não conseguindo configurar. No meu caso o que queria no momento era apenas o login e logout e futuramente modificações em serviços como restart, instalação de novo serviço, etc, porem vinha todo tipo de informação inútil e o que eu queria não vinha (pois não encontrei no cliente o filtro específico para essas ações). Porem quando ia tentar novamente, pediram para parar o projeto e ir pra outro com maior prioridade e como sempre: "Manda quem pode, obedece quem tem juízo". rsrsrsrs
Acho que daqui para Setembro o projeto que estou se conclui (pois é algo grande e com pouco pessoal) e posso voltar a tentar concluir o syslog centralizado.
[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h
Olá,
Tácio,
Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..
Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?
Att,
Pronto vou dar uma boa olhada no seu artigo sim, pois é sempre bom conhecer outras soluções para implementar a que melhor se enquadra no seu ambiente.
E sobre o cliente para o Windows eu instalei ele normalmente e o envio das informações para o rsyslog funcionava, porem o filtro que acabei não conseguindo configurar. No meu caso o que queria no momento era apenas o login e logout e futuramente modificações em serviços como restart, instalação de novo serviço, etc, porem vinha todo tipo de informação inútil e o que eu queria não vinha (pois não encontrei no cliente o filtro específico para essas ações). Porem quando ia tentar novamente, pediram para parar o projeto e ir pra outro com maior prioridade e como sempre: "Manda quem pode, obedece quem tem juízo". rsrsrsrs
Acho que daqui para Setembro o projeto que estou se conclui (pois é algo grande e com pouco pessoal) e posso voltar a tentar concluir o syslog centralizado.
[11] Comentário enviado por carolinaneves22 em 29/07/2015 - 08:27h
[10] Comentário enviado por xerxeslins em 28/07/2015 - 23:00h
muito interessante!
favoritado!
Obrigada pelo feedback!
[10] Comentário enviado por xerxeslins em 28/07/2015 - 23:00h
muito interessante!
favoritado!
Obrigada pelo feedback!
[12] Comentário enviado por carolinaneves22 em 29/07/2015 - 08:31h
[9] Comentário enviado por Tacioandrade em 27/07/2015 - 20:32h
[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h
Olá,
Tácio,
Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..
Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?
Att,
Pronto vou dar uma boa olhada no seu artigo sim, pois é sempre bom conhecer outras soluções para implementar a que melhor se enquadra no seu ambiente.
E sobre o cliente para o Windows eu instalei ele normalmente e o envio das informações para o rsyslog funcionava, porem o filtro que acabei não conseguindo configurar. No meu caso o que queria no momento era apenas o login e logout e futuramente modificações em serviços como restart, instalação de novo serviço, etc, porem vinha todo tipo de informação inútil e o que eu queria não vinha (pois não encontrei no cliente o filtro específico para essas ações). Porem quando ia tentar novamente, pediram para parar o projeto e ir pra outro com maior prioridade e como sempre: "Manda quem pode, obedece quem tem juízo". rsrsrsrs
Acho que daqui para Setembro o projeto que estou se conclui (pois é algo grande e com pouco pessoal) e posso voltar a tentar concluir o syslog centralizado.
Bom dia,
Tácio,
Eu não dei muita atenção para os filtros do windows também, creio que dê para monitorar logout e login sim.. Até me interessei em saber.. rs
Assim que sobrar um tempinho dou uma olhada nisso e compartilho contigo, ou até mesmo faço outro artigo.. Caso você consiga antes, compartilhe comigo.. =)
Att,
[9] Comentário enviado por Tacioandrade em 27/07/2015 - 20:32h
[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h
Olá,
Tácio,
Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..
Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?
Att,
Pronto vou dar uma boa olhada no seu artigo sim, pois é sempre bom conhecer outras soluções para implementar a que melhor se enquadra no seu ambiente.
E sobre o cliente para o Windows eu instalei ele normalmente e o envio das informações para o rsyslog funcionava, porem o filtro que acabei não conseguindo configurar. No meu caso o que queria no momento era apenas o login e logout e futuramente modificações em serviços como restart, instalação de novo serviço, etc, porem vinha todo tipo de informação inútil e o que eu queria não vinha (pois não encontrei no cliente o filtro específico para essas ações). Porem quando ia tentar novamente, pediram para parar o projeto e ir pra outro com maior prioridade e como sempre: "Manda quem pode, obedece quem tem juízo". rsrsrsrs
Acho que daqui para Setembro o projeto que estou se conclui (pois é algo grande e com pouco pessoal) e posso voltar a tentar concluir o syslog centralizado.
Bom dia,
Tácio,
Eu não dei muita atenção para os filtros do windows também, creio que dê para monitorar logout e login sim.. Até me interessei em saber.. rs
Assim que sobrar um tempinho dou uma olhada nisso e compartilho contigo, ou até mesmo faço outro artigo.. Caso você consiga antes, compartilhe comigo.. =)
Att,
[13] Comentário enviado por Estudodasredes em 20/10/2017 - 01:04h
Oi tudo bem? Sou estudante de redes e criei um centralizador de logs como o do seu post e em seguida instalei um gerenciador para acesso via browser. Observei que ele está exibindo os logs do caminho /var/log/messages.
Neste caso é necessário rotacionar? Eu não entendi bem a logica do rotacionamento. Se já está sendo enviado para o caminho citado acima não poderá encher o disco da mesma forma mesmo seu criar um script com a linha Cat /origem | grep >> /saída e em seguida rotacionar?
Oi tudo bem? Sou estudante de redes e criei um centralizador de logs como o do seu post e em seguida instalei um gerenciador para acesso via browser. Observei que ele está exibindo os logs do caminho /var/log/messages.
Neste caso é necessário rotacionar? Eu não entendi bem a logica do rotacionamento. Se já está sendo enviado para o caminho citado acima não poderá encher o disco da mesma forma mesmo seu criar um script com a linha Cat /origem | grep >> /saída e em seguida rotacionar?
[14] Comentário enviado por flaviotecnico em 12/05/2018 - 21:36h
Carolina, muito obrigado.
Tutorial simples e bom.
Abraço.
Carolina, muito obrigado.
Tutorial simples e bom.
Abraço.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Wifi não funciona no Aspire ES 15 com o Debian (9)
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 65.741 pts -
Fábio Berbert de Paula
2° lugar - 49.103 pts -
Buckminster
3° lugar - 18.627 pts -
Mauricio Ferrari
4° lugar - 14.797 pts -
Alberto Federman Neto.
5° lugar - 13.580 pts -
Diego Mendes Rodrigues
6° lugar - 12.770 pts -
Daniel Lara Souza
7° lugar - 12.678 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 12.008 pts -
Andre (pinduvoz)
9° lugar - 10.813 pts -
edps
10° lugar - 10.437 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
