rsyslog

Resources

Home

Official documentation

Package information

Wikipedia

GitHub

#rsyslog (webchat)

Open Hub

This article has some todo items:

• add simple IPv6 example
• wikify
• add systemd

Az rsyslog egy nyílt forráskódú rendszer a nagy teljesítményű naplófeldolgozás számára. Több mint egy hagyományos rendszernaplózó, ez egy sokoldalú szoftver, amely sok forrásból képes adatokat fogadni, és sok célhelyre képes továbbítani.

Az rsyslog támogatja a naplóüzenetek továbbítását IP-hálózaton keresztül, adatbázisokba, e-mailben stb., és kiterjeszti az alapvető syslog protokollt hatékony szűrési képességekkel. Erőteljes beállítási lehetőségeket biztosít a speciális igényekhez való alkalmazkodásra.

Telepítés

USE jelölőzászlók

Emerge

Telepítse a app-admin/rsyslog szoftvercsomagot:

Beállítás

Környezeti változók

Az összes környezeti változó listája, amelyet a rsyslogd parancs beolvashat és ellenőrizhet:

• RSYSLOG_DEBUG - CSV-opciók: debug, debugondemand, lologtimestamp, nostdout, outputtidtostderr. További lehetőségekért használja a RSYSLOG_DEBUG=help opciót.
• RSYSLOG_MODDIR - Használt modulok teljes könyvtárútvonala (alapértelmezés szerint /usr/lib/<GNU-trigraph>/rsyslog).
• RSYSLOG_DEBUGLOG - Hibakeresési naplófájl teljes fájlspecifikációja (nincs alapértelmezett érték).
• RSYSLOG_DEBUG_TIMEOUTS_TO_STDERR - Hibakeresési kimenet időkorlátja (másodpercben megadva).
• RSYSLOG_DFLT_LOG_INTERNAL - Tesztpad és bizonyos indítási folyamatok által használt. Az `1` egyenértékű a $processInternalMessage=on beállítással.
• LISTEN_PID - Folyamatazonosító (PID) fájl teljes fájlspecifikációja.

A /etc/rsyslog.conf fájl tartalmazhat environment paraméterkulcsszót (paraméterkulcsszavakat), amely(ek) további környezeti változót hozhat(nak) létre.

A modulok más környezeti változókat is használhatnak a feldolgozási jellemzőik módosítására. Az adott modulok forráskódjában találhatók getenv() rendszerhívások.

Fájlok

Az rsyslogd parancs által beolvasott fájlok:

• /etc/rsyslog.conf - Az rsyslogd beállításfájlja.
• /usr/lib/x86_64-linux-gnu/rsyslog/ - Modulkönyvtár az rsyslogd számára.
• /proc/self/ns/net
• /var/run/netns/%s
• /dev/urandom - Kernel véletlen szám forráseszköze.

Az rsyslogd parancs által írt fájlok:

• (various log files)
• /dev/console
• /run/rsyslog.pid%s

Beállításfájl

A /etc/rsyslog.conf fájlnak három formátuma van: Fejlett (advanced), alapvető (basic), régi (obsoleted).

Ez a wikioldal kizárólag a alapvető (basic) és fejlett (advanced) formátumokat tárgyalja.

Alapvető (basic) rsyslog beállítás:

$IncludeConfig /etc/rsyslog.d/
$FileCreateMode 0640
 
*.info;mail.none;authpriv.none;cron.none                -/var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  -/var/log/cron
*.emerg                                                 .*

Általában az üzenetek fájlokba kerülnek naplózásra, a fájlt teljes elérési úttal együtt kell megadni. Az rsyslog egyszerű szintaxist használ a bejövő üzenetek szűrésére. A syslog üzeneteket létesítmény és súlyosság szerint osztályozzák. A RFC5424 szerint a következő súlyossági csoportok kerültek meghatározásra:

Súlyosság

Létesítmény

Az rsyslog által használt létesítmények listája. A legtöbb létesítmény neve önmagáért beszél. A local0 - local7 létesítmények gyakori használata például hálózati naplózási létesítményként csomópontok és hálózati eszközök számára. Általában a helyzettől függ, hogy miként kell osztályozni a naplókat és miként kell elhelyezni őket a létesítményekben. A létesítményeket inkább eszközként kell kezelni, mintsem követendő irányelvként.

A létesítmények az igényeknek megfelelően módosíthatók:

Szűrés

Szűrési példák listája:

• Irányítsa át az összes bejövő üzenetet minden szolgáltatásból és minden súlyossági szinttel a /var/log/syslog fájlba:

 *.* -/var/log/syslog

• Szűrje ki a kritikus súlyosságú üzeneteket, és mentse el a /var/log/critical fájlba:

 *.crit -/var/log/critical

• Ne irányítsa át a mail, authentication és cron szolgáltatások üzeneteit a /var/log/messages fájlba, keresse a none kulcsszót:

 mail.none;authpriv.none;cron.none -/var/log/messages

Helyi naplózás

Engedélyezze a helyi naplózást minden szolgáltatásból annak érdekében, hogy láthatóak legyenek a helyi események.

 $ModLoad imuxsock.so

Távoli naplózás

A távoli naplózás használatához adjon meg egy klienst, amely egy adott szerverre vagy szerverekre naplóz, valamint egy szervert, amely fogadja a kliensek által küldött üzeneteket. A beállítás előtt válassza ki a protokollt. A syslog üzeneteket UDP vagy TCP protokoll segítségével lehet küldeni. Az alapértelmezett protokoll az UDP, amelyet a legtöbb platform támogat. Nem minden platform támogatja a TCP protokollt a syslog számára.

Kliens

A syslog UDP üzenetek küldésének engedélyezéséhez adja hozzá a következő sort a /etc/rsyslog.conf fájlhoz. Ebben a példában az rsyslog az összes szolgáltatást és az összes prioritást *.* protokollként UDP @ használatával küldi a távoli szerverre 192.0.2.1.

 *.*       @192.0.2.1

A syslog üzenetek TCP támogatásának engedélyezése érdekében adja hozzá a következő sort az rsyslog beállításfájlhoz. A TCP engedélyezése @@ hozzáadásával történik.

 *.*       @@192.0.2.1

Ha szükséges, akkor a host számítógépnevek helyettesíthetőek IP-címekkel.

Az alábbi példában egy syslog kliensbeállítás látható, amely syslog üzeneteket küld egy távoli szerverre TCP protokollon keresztül.

$ModLoad imuxsock.so
*.*   @@192.0.2.1:10514
 
*.info;mail.none;authpriv.none;cron.none      /var/log/messages
authpriv.*                                    /var/log/secure
mail.*                                        /var/log/maillog
cron.*                                        /var/log/cron
*.emerg                                       *
uucp,news.crit                                /var/log/spooler
local7.*                                      /var/log/boot.log

Szerver

Annak érdekében, hogy UDP naplófogadás biztosítva legyen és a szerver 514 számú porton figyeljen. A syslog UDP használata az alapértelmezett beállítás.

 $ModLoad imudp
 $UDPServerRun 514

Az UDP nem megbízható protokoll. A nagyobb megbízhatóság érdekében futtassa a szervert a TCP naplózási támogatással.

 $ModLoad imtcp
 $InputTCPServerRun 10514

Az UDP port IP interfészhez való kötéséhez állítsa be a következő bejegyzést, és biztosítsa a megfelelő definíciós sorrendet, amennyiben interfészhez köti:

 $ModLoad imudp
 $UDPServerAddress 192.0.2.1 # this entry MUST be before the $UDPServerRun directive
 $UDPServerRun 514

Egy egyszerű beállítás (alapvető elrendezésben) így nézne ki:

$ModLoad imuxsock.so
$ModLoad imtcp.so
$InputTCPServerAddress 192.0.2.1
$InputTCPServerRun 10514
$ModLoad imudp.so
$UDPServerAddress 192.0.2.1
$UDPServerRun 514
*.info;mail.none;authpriv.none;cron.none      /var/log/messages
authpriv.*                                    /var/log/secure
mail.*                                        /var/log/maillog
cron.*                                        /var/log/cron
*.emerg                                       *
uucp,news.crit                                /var/log/spooler
local7.*                                      /var/log/boot.log

Adatbázis naplózás

Az rsyslog a következő adatbázisokba történő naplózást támogatja:

• MariaDB
• MySQL
• PostgreSQL
• Oracle

Miután kiválasztotta az adatbázist, amelybe a naplók tárolásra kerülnek, engedélyeznie kell a megfelelő USE jelölőzászlót, és újra kell építenie a forráskódból az rsyslog szoftvercsomagot a folytatás előtt. Ez a példa egy MySQL adatbázist használ.

A csomag egy createDB.sql nevű SQL szkriptet tartalmaz, amely létrehozza az adatbázis elrendezését.

CREATE DATABASE Syslog;
USE Syslog;
CREATE TABLE SystemEvents
(
        ID int unsigned not null auto_increment primary key,
        CustomerID bigint,
        ReceivedAt datetime NULL,
        DeviceReportedTime datetime NULL,
        Facility smallint NULL,
        Priority smallint NULL,
        FromHost varchar(60) NULL,
        Message text,
        NTSeverity int NULL,
        Importance int NULL,
        EventSource varchar(60),
        EventUser varchar(60) NULL,
        EventCategory int NULL,
        EventID int NULL,
        EventBinaryData text NULL,
        MaxAvailable int NULL,
        CurrUsage int NULL,
        MinUsage int NULL,
        MaxUsage int NULL,
        InfoUnitID int NULL ,
        SysLogTag varchar(60),
        EventLogType varchar(60),
        GenericFileName VarChar(60),
        SystemID int NULL
);
CREATE TABLE SystemEventsProperties
(
        ID int unsigned not null auto_increment primary key,
        SystemEventID int NULL ,
        ParamName varchar(255) NULL ,
        ParamValue text NULL
);

Importálja a /usr/share/rsyslog/scripts/mysql/createDB.sql fájlt a Syslog adatbázis létrehozásához.

Hozzon létre egy adatbázis-felhasználót a Syslog adatbázis számára.

Az SQL adatbázis naplózási támogatásának biztosításához engedélyezze a szükséges modult a /etc/rsyslog.conf fájlban.

 $ModLoad ommysql.so

Mondja meg az rsyslog szoftvernek, hogy továbbítsa az összes adatot az adatbázisba. Adja hozzá a következőt a /etc/rsyslog.conf fájl végéhez:

 *.* :ommysql:localhost,Syslog,rsyslog-user,MySecretPassword

Végül indítsa újra az rsyslog szervert az új beállítások alkalmazásának az érdekében.

Szolgáltatások

OpenRC

Az rsyslogd szolgáltatás hozzáadásához az alapértelmezett futási szinthez annak érdekében, hogy a naplózás az operációs rendszerrel együtt induljon el:

Az emerge befejezése után az rsyslog szoftvernek alapértelmezett beállításnak működnie kell, legalábbis a helyi naplózás számára.

Az rsyslogd szolgáltatás azonnali elindítása érdekében futtassa a következő parancsot:

Ellenőrizze a /var/log/messages fájlt a syslog bejegyzésekért.

2024-01-30T23:24:27.462647+01:00 server rsyslogd: [origin software="rsyslogd" swVersion="8.2212.0" x-pid="2404" x-info="https://www.rsyslog.com"] start

Sablonok

Számos gyártó eltérően formázza a syslog üzeneteit. Ha a hálózati eszközök egy központi rsyslog szerverre naplóznak, akkor a naplózási különbségek könnyen észrevehetőek lesznek. Egy idő után a naplók gyűjtése megnehezíti a syslog szerver üzeneteinek szűrését egy adott

• Dátumra
• Létesítményre
• Súlyosságra
• Host számítógépre
• Syslogtag -ra
• ProcessID -re
• MessageType -re
• Üzenetre

A syslog üzenetek egységesítése érdekében (egy meghatározott vagy preferált formátumra) az rsyslog sablonokat használ, amelyek feldolgozzák az érkező üzeneteket, és "átírják" azokat a kívánt formátumra.

A egyszerű és moduláris beállítás fenntartása érdekében a sablonok a /etc/rsyslog.d/ könyvtárban kerülnek tárolásra. Az rsyslog.d könyvtárban tárolt fájlok bevonása érdekében adja hozzá a következő sort a /etc/rsyslog.conf fájlhoz:

 $IncludeConfig /etc/rsyslog.d/*.conf

A sablonokat a /etc/rsyslog.d/ könyvtárban kell tárolni.

Itt van egy egyszerű sablon egy Cisco IOS host számítógép számára, amely az rsyslogd-ba naplóz:

$template mysql_cisco, "insert into SystemEvents (Message, Facility, FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg:R,ERE,1,DFLT:%[A-Z0-9_-]+: (.*)--end%', %syslogfacility%, '%fromhost%', %syslog
priority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%msg:R,ERE,0,DFLT:%[A-Z0-9_-]+:--end%')",SQL

Itt van egy egyszerű sablon egy ScreenOS host számítógép számára, amely az rsyslogd-ba naplóz:

$template mysql_netscreen, "insert into SystemEvents (Message, Facility, FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg:R,ERE,1,DFLT:[a-zA-Z0-9-]+: (.*)--end%', %syslogfacility%, '%fromhost%', %s
yslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%msg:R,ERE,0,DFLT:[a-zA-Z0-9-]+:--end%')",SQL

Itt van egy egyszerű sablon egy Linux host számítógép számára, amely az rsyslogd-ba naplóz:

$template mysql_linux, "insert into SystemEvents (Message, Facility, FromHost, Priority, DeviceReportedTime, ReceivedAt, IntoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%HOSTNAME%', %syslogpriority%, '%timereported:::
date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag:R,ERE,1,FIELD:(.+)(\[[0-9]{1,5}\]).*--end%')" ,SQL

Állítsa be az rsyslogd szoftvert, hogy melyik előre definiált sablon melyik létesítményre vonatkozzon. Adja hozzá a következő sablonhivatkozásokat a /etc/rsyslog.conf fájl végéhez.

• A local4 létesítményhez érkező összes üzenet Cisco IOS üzenet:

 local4.* :ommysql:localhost,Syslog,rsyslog-user,MySecretPassword;mysql_cisco

• A local5 létesítményhez érkező összes üzenet ScreenOS üzenet:

 local5.* :ommysql:localhost,Syslog,rsyslog-user,MySecretPassword;mysql_netscreen

• A syslog szoftverhez érkező összes üzenetet Linux üzenetként kell kezelni, és figyelmen kívül kell hagyni a local4 és local5 létesítményeket, amelyek saját sablonokkal rendelkeznek:

 *.*;local4.none;local5.none :ommysql:localhost,Syslog,rsyslog-user,MySecretPassword;mysql_linux

A következő példa bemutatja, hogy miként nézhet ki a /etc/rsyslog.conf fájl egy syslog szerveren működő sablonokkal:

$ModLoad imudp
$UDPServerRun 514
$ModLoad ommysql.so
$IncludeConfig /etc/rsyslog.d/*.conf
 
*.info;mail.none;authpriv.none;cron.none	-/var/log/messages
authpriv.*					/var/log/secure
mail.*						-/var/log/maillog
cron.*						-/var/log/cron
*.emerg						*
uucp,news.crit					-/var/log/spooler
local7.*					/var/log/boot.log
 
local4.* :ommysql:localhost,Syslog,rsyslog-user,MySecretPassword;mysql_cisco
local5.* :ommysql:localhost,Syslog,rsyslog-user,MySecretPassword;mysql_netscreen
*.*;local4.none;local5.none :ommysql:localhost,Syslog,rsyslog-user,MySecretPassword;mysql_linux

Töltse be újra az rsyslog szervert az új módosítások alkalmazása érdekében:

További példák találhatóak itt.

Használat

Kizárólag egy végrehajtható fájl létezik, egy szolgáltatás, amelyet rsyslogd néven hívnak.

Futtatás

A parancssori opciók NEM beágyazottak az rsyslogd szoftverbe. Erről további információ a rsyslogd(8) leírásban található.

Beállításfájlok érvényesítése

Az rsyslogd alapértelmezett beállításfájljainak (/etc/rsyslog.conf) szintaxis ellenőrzése érdekében érvényesítse a beállításfájlt a következő parancs végrehajtásával:

rsyslogd: version 8.2302.0, config validation run (level 1), master config /etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.

A nem root jogosultságú tesztkörnyezetben lévő beállításfájlok érvényesítése érdekében hajtsa végre a következő parancsot:

rsyslogd: version 8.2302.0, config validation run (level 1), master config /usr/share/doc/rsyslog/examples/rsyslog.d/console.conf
rsyslogd: End of config validation run. Bye.

Eltávolítás

Az rsyslog szoftvercsomag (eszközkészlet és könyvtár) eltávolítása a következő parancs végrehajtásával végezhető el:

.

Hibaelhárítás

Ellenőrizze le, hogy egy syslog folyamat vajon fut-e:

root     9161  0.0  0.0 1323652  3424 ?        Sl   00:51   0:00 /usr/sbin/rsyslogd -c5 -i /var/run/rsyslogd.pid -f /etc/rsyslog.conf

Ellenőrizze a hálózati beállítást:

udp   UNCONN 0      0            0.0.0.0:514       0.0.0.0:*    users:(("rsyslogd",pid=1710,fd=6))
udp   UNCONN 0      0            0.0.0.0:514       0.0.0.0:*    users:(("rsyslogd",pid=1710,fd=4))
udp   UNCONN 0      0               [::]:514          [::]:*    users:(("rsyslogd",pid=1710,fd=7))
udp   UNCONN 0      0               [::]:514          [::]:*    users:(("rsyslogd",pid=1710,fd=5))

Ellenőrizze a logger parancs segítségével, hogy az üzenetek megérkeznek-e a syslog szerverre:

Ha az rsyslog megfelelően működik, akkor a következő üzenetnek kell megjelennie a /var/log/messages fájlban.

...
2011-11-23T00:47:05+01:00 Rsyslogserver test: my syslog-test-message

További olvasnivaló a témában

• Metalog — an alternative syslog daemon.
• Sysklogd — utility that reads and logs messages to the system console, logs files, other machines and/or users as specified by its configuration file.
• Syslog-ng — a powerful, highly configurable monitoring and logging daemon.

Külső források

• Hivatalos dokumentáció
• Rsyslog Templates HOWTO
• RFC 5424 - A Syslog protokoll