• Главная
  • Руководство по ведению журналов
  • Как настроить сервер Ubuntu 18.04 LTS в качестве сервера rsyslog?

Как настроить сервер Ubuntu 18.04 LTS в качестве сервера rsyslog?

На этой странице

  • Как настроить сервер Ubuntu 18.04 LTS в качестве сервера rsyslog
  • Как отслеживать файлы rsyslogd?

Как настроить сервер Ubuntu 18.04 LTS в качестве сервера rsyslog

Системы Ubuntu можно настроить так, чтобы они действовали как центральные серверы Syslog, собирающие и анализирующие журналы системы с различных других устройств. Ниже приведены шаги по настройке центрального сервера rsyslog, работающего на Ubuntu 18.04 LTS.

  • Установить rsyslog в ОС Ubuntu можно с помощью следующей команды:
    • apt-get install rsyslog -y
  • Введите следующую команду, чтобы проверить, находится ли rsyslog в состоянии Active: active (запущен),
    • systemctl status rsyslog
  • Найдите и раскомментируйте следующие строки в /etc/rsyslog.conf, чтобы включить соединения TCP и UDP:
    • $ModLoad imudp
    $UDPServerRun 514
    $ModLoad imtcp
    $InputTCPServerRun 514
    Примечание: Порт 514 - порт по умолчанию для UDP и TCP. Можно в любой момент изменить номер порта.
  • Затем предоставьте разрешения IP-адресам, доменам и подсетям, которые могут использовать порт 514, с помощью следующей команды:
    • $AllowedSender TCP
    $AllowedSender UDP
  • Создайте шаблон, который определяет файлы, в которых должны храниться полученные журналы, с помощью следующей команды:
    • $template remote-incoming-logs,
    "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
    *.* ?remote-incoming-logs
  • Сохраните конфигурацию и закройте ее.
  • Чтобы проверить, прослушивает ли ваш демон rsyslog порт 514, выполните следующую команду:
    • netstat -4altunp | grep 514 and see if the output shows LISTEN against TCP AND UDP fields.
  • Чтобы просмотреть журналы, собранные в режиме реального времени, введите следующую команду на сервере rsyslog:
    • ls /var/log/rsyslog-client/

Как отслеживать файлы rsyslogd?

Простого просмотра журналов rsyslog будет недостаточно, поскольку вам придется интерпретировать и анализировать журналы в разных файлах на предмет критических событий, таких как сбои авторизации и необычные изменения конфигурации системы. Системные журналы содержат важную информацию о том, кто, что и когда выполнял во всех событиях. Эти сведения позволяют выявлять аномальные действия на сетевых устройствах и помогают снижать угрозы и предотвращать атаки. Делать это вручную было бы утомительно. Решение для управления журналами сделает все это за вас.

EventLog Analyzer - эффективное решение для управления журналами, которое интерпретирует и анализирует данные журналов для создания интуитивно понятных отчетов. С помощью EventLog Analyzer можно настроить оповещения, чтобы отмечать отклонение в поведении как угрозу, а также в режиме реального времени получать по SMS или электронной почте уведомления о готовящейся атаке. Для получения дополнительной информации нажмите здесь.

Что дальше?

Упростите управление rsyslog в Ubuntu с помощью централизованного мониторинга и автоматизированной отчетности EventLog Analyzer.

Загрузить