Rsyslog - Configurando o Centralizador de Logs
Esse artigo tem a finalidade de orientar as simples configurações de um centralizador de LOGS "rsyslog" para facilitar seu dia a dia de coletas de logs em um ambiente de médio porte.
[ Hits: 45.659 ]
Por: Carolina Robles das Neves em 17/07/2015 | Blog: https://www.linkedin.com/in/carolina-robles-das-neves-933289100/
Instalando e configurando servidor Syslog e cliente - CentOS 7
Observação.: Toda a instalação e configuração foi efetuada com o usuário root.
1. Instale o pacote do rsyslog:
# yum install rsyslog
Obs.: você pode usar o parâmetro "-y" para forçar a instalação sem perguntar novamente:
# yum install -y rsyslog
2. Vamos editar o arquivo do rsyslog que encontra-se em: /etc/rsyslog.conf
Abra o arquivo com seu editor de texto favorito. Eu irei usar o editor vim (caso queira usar o vim e não tem o pacote instalado, insira o comando:
# yum install -y vim
Edite o arquivo:
# vim /etc/rsyslog.conf +15
Dica para o editor vim: o sinal de "+15" após o comando é para ir até a linha 15 do arquivo, linha que vamos descomentar.
3. Descomente as linhas 15 e 16 do arquivo, habilitando o servidor syslog a escutar na porta 514.
Exemplo:
Arquivo original:
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
Arquivo editado:
4. Reinicie o serviço do rsyslog:
# systemctl restart rsyslog.service
5. Verifique se o servidor syslog está escutando na porta 514 conforme configuramos:
# netstat -nltp | grep 514
1. Instale o pacote do rsyslog:
# yum install rsyslog
Obs.: você pode usar o parâmetro "-y" para forçar a instalação sem perguntar novamente:
# yum install -y rsyslog
2. Vamos editar o arquivo do rsyslog que encontra-se em: /etc/rsyslog.conf
Abra o arquivo com seu editor de texto favorito. Eu irei usar o editor vim (caso queira usar o vim e não tem o pacote instalado, insira o comando:
# yum install -y vim
Edite o arquivo:
# vim /etc/rsyslog.conf +15
Dica para o editor vim: o sinal de "+15" após o comando é para ir até a linha 15 do arquivo, linha que vamos descomentar.
3. Descomente as linhas 15 e 16 do arquivo, habilitando o servidor syslog a escutar na porta 514.
Exemplo:
Arquivo original:
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
Arquivo editado:
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
4. Reinicie o serviço do rsyslog:
# systemctl restart rsyslog.service
5. Verifique se o servidor syslog está escutando na porta 514 conforme configuramos:
# netstat -nltp | grep 514
tcp 0 0 0.0.0.0:514 0.0.0.0:* OUÇA 616/rsyslogd tcp6 0 0 :::514 :::* OUÇA 616/rsyslogdOK! Seu servidor syslog já está configurado. Vamos configurar o cliente para envio de logs.
Páginas do artigo
1. Instalando e configurando servidor Syslog e cliente - CentOS 72. Configurar cliente para envio de logs
Outros artigos deste autor
Principais Processos em Background do Banco de Dados Oracle
Memórias Database Oracle (SGA x PGA) - Entenda a diferença e como calcular a HugePages
Personalizando o servidor centralizador de logs com rotate, script e crontab
Criação de usuário, grupo e permissão
Configurando hostname, rotas, gateway e IP em Red Hat 6
Leitura recomendada
Impressoras/scanners e multifuncionais Insigne GNU/Linux
Virtualização para servidores com VirtualBox
Debian 10 com i3 como Gerenciador de Janelas no XFCE
Instalando Gnome DropLine (Slackware 10.2+)
Reempacotamento e repositório local em um sistema Debian-like
Comentários
[1] Comentário enviado por EddyBin em 20/07/2015 - 19:26h
Boa noite Carolina.
Muito bom o artigo, meus parabéns, obrigado por compartilhar o conhecimento.
Att,
Edir
Boa noite Carolina.
Muito bom o artigo, meus parabéns, obrigado por compartilhar o conhecimento.
Att,
Edir
[2] Comentário enviado por rogerio179 em 24/07/2015 - 13:35h
Parabéns otimo tutorial,continue assim ..
Rogerio Sp
Parabéns otimo tutorial,continue assim ..
Rogerio Sp
[3] Comentário enviado por Tacioandrade em 25/07/2015 - 02:05h
Já fiz a instalação do rsyslog e achei bem interessante, uma pena que não consegui colocar um cliente Windows Server para jogar os logs de logon e logoff (além de outras informações) de formas concisas no rsyslog, por esse motivo não entrou em produção ainda. =/
Caso consiga isso dai de forma funcional e puder compartilhar agradeço (não estou pesquisando o mesmo pois estou com 2 projetos em andamento).
Agora só uma dica, recomendo o teste do splunk (a versão free mesmo) para análise de log, ele ajuda bastante a encontrar informações dentro do mar de infos que o rsyslog nos entrega. =)
Att. Tácio Andrade.
Já fiz a instalação do rsyslog e achei bem interessante, uma pena que não consegui colocar um cliente Windows Server para jogar os logs de logon e logoff (além de outras informações) de formas concisas no rsyslog, por esse motivo não entrou em produção ainda. =/
Caso consiga isso dai de forma funcional e puder compartilhar agradeço (não estou pesquisando o mesmo pois estou com 2 projetos em andamento).
Agora só uma dica, recomendo o teste do splunk (a versão free mesmo) para análise de log, ele ajuda bastante a encontrar informações dentro do mar de infos que o rsyslog nos entrega. =)
Att. Tácio Andrade.
[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h
[3] Comentário enviado por Tacioandrade em 25/07/2015 - 02:05h
Já fiz a instalação do rsyslog e achei bem interessante, uma pena que não consegui colocar um cliente Windows Server para jogar os logs de logon e logoff (além de outras informações) de formas concisas no rsyslog, por esse motivo não entrou em produção ainda. =/
Caso consiga isso dai de forma funcional e puder compartilhar agradeço (não estou pesquisando o mesmo pois estou com 2 projetos em andamento).
Agora só uma dica, recomendo o teste do splunk (a versão free mesmo) para análise de log, ele ajuda bastante a encontrar informações dentro do mar de infos que o rsyslog nos entrega. =)
Att. Tácio Andrade.
Olá,
Tácio,
Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..
Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?
Att,
[3] Comentário enviado por Tacioandrade em 25/07/2015 - 02:05h
Já fiz a instalação do rsyslog e achei bem interessante, uma pena que não consegui colocar um cliente Windows Server para jogar os logs de logon e logoff (além de outras informações) de formas concisas no rsyslog, por esse motivo não entrou em produção ainda. =/
Caso consiga isso dai de forma funcional e puder compartilhar agradeço (não estou pesquisando o mesmo pois estou com 2 projetos em andamento).
Agora só uma dica, recomendo o teste do splunk (a versão free mesmo) para análise de log, ele ajuda bastante a encontrar informações dentro do mar de infos que o rsyslog nos entrega. =)
Att. Tácio Andrade.
Olá,
Tácio,
Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..
Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?
Att,
[6] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:58h
[1] Comentário enviado por EddyBin em 20/07/2015 - 19:26h
Boa noite Carolina.
Muito bom o artigo, meus parabéns, obrigado por compartilhar o conhecimento.
Att,
Edir
Obrigada pelo feedback.
[1] Comentário enviado por EddyBin em 20/07/2015 - 19:26h
Boa noite Carolina.
Muito bom o artigo, meus parabéns, obrigado por compartilhar o conhecimento.
Att,
Edir
Obrigada pelo feedback.
[7] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:58h
[2] Comentário enviado por rogerio179 em 24/07/2015 - 13:35h
Parabéns otimo tutorial,continue assim ..
Rogerio Sp
Obrigada pelo feedback!
[2] Comentário enviado por rogerio179 em 24/07/2015 - 13:35h
Parabéns otimo tutorial,continue assim ..
Rogerio Sp
Obrigada pelo feedback!
[8] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:58h
[4] Comentário enviado por Lwkas em 27/07/2015 - 13:48h
Artigo extremmente útil hehehe Obrigado
Obrigada pelo feedback!
[4] Comentário enviado por Lwkas em 27/07/2015 - 13:48h
Artigo extremmente útil hehehe Obrigado
Obrigada pelo feedback!
[9] Comentário enviado por Tacioandrade em 27/07/2015 - 20:32h
[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h
Olá,
Tácio,
Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..
Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?
Att,
Pronto vou dar uma boa olhada no seu artigo sim, pois é sempre bom conhecer outras soluções para implementar a que melhor se enquadra no seu ambiente.
E sobre o cliente para o Windows eu instalei ele normalmente e o envio das informações para o rsyslog funcionava, porem o filtro que acabei não conseguindo configurar. No meu caso o que queria no momento era apenas o login e logout e futuramente modificações em serviços como restart, instalação de novo serviço, etc, porem vinha todo tipo de informação inútil e o que eu queria não vinha (pois não encontrei no cliente o filtro específico para essas ações). Porem quando ia tentar novamente, pediram para parar o projeto e ir pra outro com maior prioridade e como sempre: "Manda quem pode, obedece quem tem juízo". rsrsrsrs
Acho que daqui para Setembro o projeto que estou se conclui (pois é algo grande e com pouco pessoal) e posso voltar a tentar concluir o syslog centralizado.
[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h
Olá,
Tácio,
Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..
Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?
Att,
Pronto vou dar uma boa olhada no seu artigo sim, pois é sempre bom conhecer outras soluções para implementar a que melhor se enquadra no seu ambiente.
E sobre o cliente para o Windows eu instalei ele normalmente e o envio das informações para o rsyslog funcionava, porem o filtro que acabei não conseguindo configurar. No meu caso o que queria no momento era apenas o login e logout e futuramente modificações em serviços como restart, instalação de novo serviço, etc, porem vinha todo tipo de informação inútil e o que eu queria não vinha (pois não encontrei no cliente o filtro específico para essas ações). Porem quando ia tentar novamente, pediram para parar o projeto e ir pra outro com maior prioridade e como sempre: "Manda quem pode, obedece quem tem juízo". rsrsrsrs
Acho que daqui para Setembro o projeto que estou se conclui (pois é algo grande e com pouco pessoal) e posso voltar a tentar concluir o syslog centralizado.
[11] Comentário enviado por carolinaneves22 em 29/07/2015 - 08:27h
[10] Comentário enviado por xerxeslins em 28/07/2015 - 23:00h
muito interessante!
favoritado!
Obrigada pelo feedback!
[10] Comentário enviado por xerxeslins em 28/07/2015 - 23:00h
muito interessante!
favoritado!
Obrigada pelo feedback!
[12] Comentário enviado por carolinaneves22 em 29/07/2015 - 08:31h
[9] Comentário enviado por Tacioandrade em 27/07/2015 - 20:32h
[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h
Olá,
Tácio,
Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..
Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?
Att,
Pronto vou dar uma boa olhada no seu artigo sim, pois é sempre bom conhecer outras soluções para implementar a que melhor se enquadra no seu ambiente.
E sobre o cliente para o Windows eu instalei ele normalmente e o envio das informações para o rsyslog funcionava, porem o filtro que acabei não conseguindo configurar. No meu caso o que queria no momento era apenas o login e logout e futuramente modificações em serviços como restart, instalação de novo serviço, etc, porem vinha todo tipo de informação inútil e o que eu queria não vinha (pois não encontrei no cliente o filtro específico para essas ações). Porem quando ia tentar novamente, pediram para parar o projeto e ir pra outro com maior prioridade e como sempre: "Manda quem pode, obedece quem tem juízo". rsrsrsrs
Acho que daqui para Setembro o projeto que estou se conclui (pois é algo grande e com pouco pessoal) e posso voltar a tentar concluir o syslog centralizado.
Bom dia,
Tácio,
Eu não dei muita atenção para os filtros do windows também, creio que dê para monitorar logout e login sim.. Até me interessei em saber.. rs
Assim que sobrar um tempinho dou uma olhada nisso e compartilho contigo, ou até mesmo faço outro artigo.. Caso você consiga antes, compartilhe comigo.. =)
Att,
[9] Comentário enviado por Tacioandrade em 27/07/2015 - 20:32h
[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h
Olá,
Tácio,
Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..
Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?
Att,
Pronto vou dar uma boa olhada no seu artigo sim, pois é sempre bom conhecer outras soluções para implementar a que melhor se enquadra no seu ambiente.
E sobre o cliente para o Windows eu instalei ele normalmente e o envio das informações para o rsyslog funcionava, porem o filtro que acabei não conseguindo configurar. No meu caso o que queria no momento era apenas o login e logout e futuramente modificações em serviços como restart, instalação de novo serviço, etc, porem vinha todo tipo de informação inútil e o que eu queria não vinha (pois não encontrei no cliente o filtro específico para essas ações). Porem quando ia tentar novamente, pediram para parar o projeto e ir pra outro com maior prioridade e como sempre: "Manda quem pode, obedece quem tem juízo". rsrsrsrs
Acho que daqui para Setembro o projeto que estou se conclui (pois é algo grande e com pouco pessoal) e posso voltar a tentar concluir o syslog centralizado.
Bom dia,
Tácio,
Eu não dei muita atenção para os filtros do windows também, creio que dê para monitorar logout e login sim.. Até me interessei em saber.. rs
Assim que sobrar um tempinho dou uma olhada nisso e compartilho contigo, ou até mesmo faço outro artigo.. Caso você consiga antes, compartilhe comigo.. =)
Att,
[13] Comentário enviado por Estudodasredes em 20/10/2017 - 01:04h
Oi tudo bem? Sou estudante de redes e criei um centralizador de logs como o do seu post e em seguida instalei um gerenciador para acesso via browser. Observei que ele está exibindo os logs do caminho /var/log/messages.
Neste caso é necessário rotacionar? Eu não entendi bem a logica do rotacionamento. Se já está sendo enviado para o caminho citado acima não poderá encher o disco da mesma forma mesmo seu criar um script com a linha Cat /origem | grep >> /saída e em seguida rotacionar?
Oi tudo bem? Sou estudante de redes e criei um centralizador de logs como o do seu post e em seguida instalei um gerenciador para acesso via browser. Observei que ele está exibindo os logs do caminho /var/log/messages.
Neste caso é necessário rotacionar? Eu não entendi bem a logica do rotacionamento. Se já está sendo enviado para o caminho citado acima não poderá encher o disco da mesma forma mesmo seu criar um script com a linha Cat /origem | grep >> /saída e em seguida rotacionar?
[14] Comentário enviado por flaviotecnico em 12/05/2018 - 21:36h
Carolina, muito obrigado.
Tutorial simples e bom.
Abraço.
Carolina, muito obrigado.
Tutorial simples e bom.
Abraço.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Vou voltar moderar conteúdos de Dicas e Artigos (0)
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Vou voltar moderar conteúdos de Dicas e Artigos (0)
Instalação Uefi com o instalador clássico do Mageia (0)
É cada coisa que me aparece! - não é só 3% (2)
Top 10 do mês
-
Xerxes
1° lugar - 66.775 pts -
Fábio Berbert de Paula
2° lugar - 50.840 pts -
Buckminster
3° lugar - 17.557 pts -
Mauricio Ferrari
4° lugar - 15.719 pts -
Alberto Federman Neto.
5° lugar - 14.369 pts -
Diego Mendes Rodrigues
6° lugar - 13.535 pts -
Daniel Lara Souza
7° lugar - 12.814 pts -
edps
8° lugar - 11.175 pts -
Andre (pinduvoz)
9° lugar - 10.978 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.910 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
