Pular para o conteúdo

Rsyslog - Configurando o Centralizador de Logs

Esse artigo tem a finalidade de orientar as simples configurações de um centralizador de LOGS "rsyslog" para facilitar seu dia a dia de coletas de logs em um ambiente de médio porte.
Carolina Robles das Neves carolinaneves22

Por Carolina Robles das Neves em 17/07/2015

Hits: 47.833 Categoria: Linux Subcategoria: Configuração
  • Indicar
  • Impressora
  • Denunciar
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Instalando e configurando servidor Syslog e cliente - CentOS 7

Observação.: Toda a instalação e configuração foi efetuada com o usuário root.

1. Instale o pacote do rsyslog:

# yum install rsyslog

Obs.: você pode usar o parâmetro "-y" para forçar a instalação sem perguntar novamente:

# yum install -y rsyslog

2. Vamos editar o arquivo do rsyslog que encontra-se em: /etc/rsyslog.conf

Abra o arquivo com seu editor de texto favorito. Eu irei usar o editor vim (caso queira usar o vim e não tem o pacote instalado, insira o comando:

# yum install -y vim

Edite o arquivo:

# vim /etc/rsyslog.conf +15

Dica para o editor vim: o sinal de "+15" após o comando é para ir até a linha 15 do arquivo, linha que vamos descomentar.

3. Descomente as linhas 15 e 16 do arquivo, habilitando o servidor syslog a escutar na porta 514.

Exemplo:

Arquivo original:

# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514

Arquivo editado:

# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

4. Reinicie o serviço do rsyslog:

# systemctl restart rsyslog.service

5. Verifique se o servidor syslog está escutando na porta 514 conforme configuramos:

# netstat -nltp | grep 514 
tcp    0   0 0.0.0.0:514     0.0.0.0:*      OUÇA    616/rsyslogd
tcp6   0   0 :::514          :::*           OUÇA    616/rsyslogd
OK! Seu servidor syslog já está configurado. Vamos configurar o cliente para envio de logs.

O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Páginas do artigo

   1. Instalando e configurando servidor Syslog e cliente - CentOS 7
   2. Configurar cliente para envio de logs

Outros artigos deste autor

Expandindo partição em LVM

Memórias Database Oracle (SGA x PGA) - Entenda a diferença e como calcular a HugePages

Criação de usuário, grupo e permissão

Configurando hostname, rotas, gateway e IP em Red Hat 6

Personalizando o servidor centralizador de logs com rotate, script e crontab

Leitura recomendada

Converter VMs GNU/Linux XenServer (paravirtualizada) para VMware ESXi 5

Configurando um servidor de email com Postfix, MySQL, SASL, MailScanner e MailWatch no CentOS 4.2

Instalação automatizada de servidores com kickstart

Atualizando sua versão Slackware - upgrade de pacotes

Fedora Core 1 :: Firewall e update

Comentários

#1 Comentário enviado por EddyBin em 20/07/2015 - 19:26h
Boa noite Carolina.

Muito bom o artigo, meus parabéns, obrigado por compartilhar o conhecimento.

Att,
Edir
#2 Comentário enviado por rogerio179 em 24/07/2015 - 13:35h
Parabéns otimo tutorial,continue assim ..

Rogerio Sp
#3 Comentário enviado por Tacioandrade em 25/07/2015 - 02:05h
Já fiz a instalação do rsyslog e achei bem interessante, uma pena que não consegui colocar um cliente Windows Server para jogar os logs de logon e logoff (além de outras informações) de formas concisas no rsyslog, por esse motivo não entrou em produção ainda. =/

Caso consiga isso dai de forma funcional e puder compartilhar agradeço (não estou pesquisando o mesmo pois estou com 2 projetos em andamento).

Agora só uma dica, recomendo o teste do splunk (a versão free mesmo) para análise de log, ele ajuda bastante a encontrar informações dentro do mar de infos que o rsyslog nos entrega. =)

Att. Tácio Andrade.
#4 Comentário enviado por Lwkas em 27/07/2015 - 13:48h

Artigo extremmente útil hehehe Obrigado
#5 Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h

[3] Comentário enviado por Tacioandrade em 25/07/2015 - 02:05h

Já fiz a instalação do rsyslog e achei bem interessante, uma pena que não consegui colocar um cliente Windows Server para jogar os logs de logon e logoff (além de outras informações) de formas concisas no rsyslog, por esse motivo não entrou em produção ainda. =/

Caso consiga isso dai de forma funcional e puder compartilhar agradeço (não estou pesquisando o mesmo pois estou com 2 projetos em andamento).

Agora só uma dica, recomendo o teste do splunk (a versão free mesmo) para análise de log, ele ajuda bastante a encontrar informações dentro do mar de infos que o rsyslog nos entrega. =)

Att. Tácio Andrade.


Olá,

Tácio,

Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..

Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?



Att,
#6 Comentário enviado por carolinaneves22 em 27/07/2015 - 16:58h

[1] Comentário enviado por EddyBin em 20/07/2015 - 19:26h

Boa noite Carolina.

Muito bom o artigo, meus parabéns, obrigado por compartilhar o conhecimento.

Att,
Edir


Obrigada pelo feedback.
#7 Comentário enviado por carolinaneves22 em 27/07/2015 - 16:58h

[2] Comentário enviado por rogerio179 em 24/07/2015 - 13:35h

Parabéns otimo tutorial,continue assim ..

Rogerio Sp


Obrigada pelo feedback!
#8 Comentário enviado por carolinaneves22 em 27/07/2015 - 16:58h

[4] Comentário enviado por Lwkas em 27/07/2015 - 13:48h


Artigo extremmente útil hehehe Obrigado


Obrigada pelo feedback!
#9 Comentário enviado por Tacioandrade em 27/07/2015 - 20:32h

[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h

Olá,

Tácio,

Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..

Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?

Att,


Pronto vou dar uma boa olhada no seu artigo sim, pois é sempre bom conhecer outras soluções para implementar a que melhor se enquadra no seu ambiente.

E sobre o cliente para o Windows eu instalei ele normalmente e o envio das informações para o rsyslog funcionava, porem o filtro que acabei não conseguindo configurar. No meu caso o que queria no momento era apenas o login e logout e futuramente modificações em serviços como restart, instalação de novo serviço, etc, porem vinha todo tipo de informação inútil e o que eu queria não vinha (pois não encontrei no cliente o filtro específico para essas ações). Porem quando ia tentar novamente, pediram para parar o projeto e ir pra outro com maior prioridade e como sempre: "Manda quem pode, obedece quem tem juízo". rsrsrsrs

Acho que daqui para Setembro o projeto que estou se conclui (pois é algo grande e com pouco pessoal) e posso voltar a tentar concluir o syslog centralizado.
#10 Comentário enviado por xerxeslins em 28/07/2015 - 23:00h
muito interessante!

favoritado!
#11 Comentário enviado por carolinaneves22 em 29/07/2015 - 08:27h

[10] Comentário enviado por xerxeslins em 28/07/2015 - 23:00h

muito interessante!

favoritado!


Obrigada pelo feedback!
#12 Comentário enviado por carolinaneves22 em 29/07/2015 - 08:31h

[9] Comentário enviado por Tacioandrade em 27/07/2015 - 20:32h


[5] Comentário enviado por carolinaneves22 em 27/07/2015 - 16:57h

Olá,

Tácio,

Obrigada pelo comentário e dica..
Eu fiz um outro artigo sobre filtro dos logs, como configurar o logrotate etc... Está aguardando para ser aprovado... Mas obrigada pela Dica..

Eu cheguei adicionar o cliente windows no syslog, mas confesso que não cheguei a fazer os filtro de logs por que não me interessava no momento.. Pode ser que vire um outro artigo depois de sua pergunta.. mas só para entender, você chegou a instalar o client no windows mas não conseguiu fazer os filtros? Foi isso, ou nem chegou a instalar o cliente?

Att,

Pronto vou dar uma boa olhada no seu artigo sim, pois é sempre bom conhecer outras soluções para implementar a que melhor se enquadra no seu ambiente.

E sobre o cliente para o Windows eu instalei ele normalmente e o envio das informações para o rsyslog funcionava, porem o filtro que acabei não conseguindo configurar. No meu caso o que queria no momento era apenas o login e logout e futuramente modificações em serviços como restart, instalação de novo serviço, etc, porem vinha todo tipo de informação inútil e o que eu queria não vinha (pois não encontrei no cliente o filtro específico para essas ações). Porem quando ia tentar novamente, pediram para parar o projeto e ir pra outro com maior prioridade e como sempre: "Manda quem pode, obedece quem tem juízo". rsrsrsrs

Acho que daqui para Setembro o projeto que estou se conclui (pois é algo grande e com pouco pessoal) e posso voltar a tentar concluir o syslog centralizado.


Bom dia,

Tácio,

Eu não dei muita atenção para os filtros do windows também, creio que dê para monitorar logout e login sim.. Até me interessei em saber.. rs

Assim que sobrar um tempinho dou uma olhada nisso e compartilho contigo, ou até mesmo faço outro artigo.. Caso você consiga antes, compartilhe comigo.. =)

Att,
#13 Comentário enviado por Estudodasredes em 20/10/2017 - 01:04h
Oi tudo bem? Sou estudante de redes e criei um centralizador de logs como o do seu post e em seguida instalei um gerenciador para acesso via browser. Observei que ele está exibindo os logs do caminho /var/log/messages.
Neste caso é necessário rotacionar? Eu não entendi bem a logica do rotacionamento. Se já está sendo enviado para o caminho citado acima não poderá encher o disco da mesma forma mesmo seu criar um script com a linha Cat /origem | grep >> /saída e em seguida rotacionar?


#14 Comentário enviado por flaviotecnico em 12/05/2018 - 21:36h
Carolina, muito obrigado.
Tutorial simples e bom.
Abraço.

Contribuir com comentário

Entre na sua conta para comentar.