admin.txt

… заметки IT’шника…

Настройка отправки логов c хостов-клиентов на сервер RSyslog.

Имея запущенный сервер сбора логов на основе Rsyslog, прослушивающий 514 порт TCP и UDP протоколов и настроенный на фильтрацию с последующей записью логов в базу данных (например MySQL). Необходимо настроить, так сказать, «клиентское окружение», т.е. все те хосты и устройства, логи с которых необходимо централизованно хранить и обрабатывать (отправку логов на удаленный сервер поддерживают не только *.nix машины, но и любые устройства поддерживающие общепринятый формат сообщений syslog’а. Напрмер, ADSL модемы и сетевые коммутаторы.) .

При настройке устройств на отправку логов удаленному серверу возможны несколько вариантов:

  • Настройка визуальными средствами, используя заложенные производителем методы конфигурации (web- интерфейс свитчей или модемов, интерфейс клиента ESXi);
  • Настойка системного демона syslogd, правкой конфигурационного файла (*nix системы), процесс описан ниже по тексту;
  • Замена системного syslogd на RSyslog (например, для более гибкой фильтрации логов, записи сообщений сразу в удаленную базу или при конфигурировании промежуточного сервера сбора логов (relay сервер)).
  • Настройка хоста под управлением ОС Windows, для чего пока есть только платные варианты (используя EventReporter или MonitorWare Agent).

Тут картко опишу настройку стандартного демона обработки логов syslog, для пересылки их на удаленный сервер, итак Читать далее

Реклама

Декабрь 31, 2008 Posted by | Linux, Uncategorized | | Оставьте комментарий

Настройка ESXi хостов для отправки логов на удаленный сервер.

Конфигурирование хостов ESXi на пересылку логов производится через графический интерфейс клиента виртуальной инфраструктуры. Для настройки выбранного хоста необходимо, выделив хост в левой части окна, на вкладке Configuration хоста выбрать пункт Advanced Settings:

Настройка хоста ESXi на пересылку логов.

Настройка хоста ESXi на пересылку логов.

В появившемся окне настроек необходимо в левой части выбрать Читать далее

Декабрь 31, 2008 Posted by | Uncategorized | , | 1 комментарий

Фильтрация сообщений, при их обработке в RSyslog.

Базовые опции фильтрации основаны на структуре facility.serverity, применяемой в syslogd. Однако RSyslog позволяет расширить функционал, добавляя использование выражений (expression-based filters) и фильтров на основе свойств сообщения (property-based filters).

Фильтрация на основе свойств позволяет построить обработку, опираясь на свойства сообщений, такие как: HOSTNAME, syslogtag и msg (полный список свойств сообщения можно найти по ссылке ниже, в разделе Available Properties). Фильтр на основе свойств должен начинаться с двоеточия, это говорит rsyslog, что используется новый тип фильтра. После двоеточия следует имя свойства сообщения, запятая, имя выполняемой операции сравнения, запятая и последнее — значение для сравнения. Значение должно быть заключено в кавычки. Между запятыми могут присутствовать пробелы или табуляции. Имена свойств и операций сравнения чувствительны к регистру. Примерный шаблон фильтра выглядит так:

:property, [!]compare-operation, "value"

Поддерживаются следующие операции сравнения:

contains — проверка, содержит ли свойство указанное значение.

isequal — сравнивает строку value с содержимым свойства, они должны быть полностью одинаковы.

startswith — проверяет что свойство начинается со строки value.

regex — сравнивает свойство с заданным регулярным выражением. Читать далее

Декабрь 31, 2008 Posted by | Linux | | 3 комментария

Описание конфигурационного файла RSyslog, основные моменты.

Основной конфигурационный файлRSyslog расположен /etc/rsyslog.conf, дополнительные конфигурационные файлы для RSyslog расположены по пути /etc/rsyslog.d/ и имеют расширение *.conf . Дополнительные файлы включаются в основной конфигурационный файл в момент запуска сервиса и служат для выделения отдельных (независимых) задач из основного файла. Строки, начинающиеся с символа # и пустые строки игнорируются.
Демон RSyslog имеет модульную архитектуру, что позволяет гибко настроить демона под свои нужды. Модули подключаются директивой $ModLoad, конфигурационного файла. Основные моменты конфигурационного файла:

  • $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat — использование стандартной точности временной отметки. Для высокоточных меток необходимо закомментировать эту диретиву.
  • $FileOwner root — владелец создаваемых файлов;
  • $FileGroup adm — группа владельца файлов;
  • $FileCreateMode 0640 — разрешения создаваемых файлов;
  • $IncludeConfig /etc/rsyslog.d/*.conf — подключение дополнительных конфигурационных файлов.
  • imuxsock — модуль позволяет вести логирование локальной системы;
  • imklog — модуль включает поддержку kernel logging (раньше использовался rklogd)
  • immark — модуль позволяет использовать метки, поступающие через определенный интервал времени.
  • imudp — модуль позволяет принимать syslog сообщения на заданном UDP порту (заменяет опцию -r при запуске демона), требуется конфигурация параметра $UDPServerRun, например:
  • $ModLoad imudp
    $UDPServerRun 514

  • imtcp — модуль позволяет принимать сообщения на указанном TCP порту Читать далее

Декабрь 31, 2008 Posted by | Linux, Uncategorized | | Оставьте комментарий

E-mail нотификация RSyslog, используя smtp без авторизации.

Продолжая серию заметок про мой опыт работы с rsyslog, хочу написать про настройку почтовой нотификации.

rsyslog-mailRSyslog позволяет гибко настроить e-mail нотификацию по определенным условиям. Для нотификации используется smtp сервер, не требующий авторизации. Для использования нотификации необходимо подключить модуль ommail и сконфигурировать параметры (получателя, сервер, тему, тело письма и др.). Приведенные ниже настройки вносятся в основной конфигурационный файл /etc/rsyslog.conf (либо в *.conf файл в папке /etc/rsyslog.d/ в случае подключения дополнительных конфигурационных файлов директивой основного файла: $IncludeConfig /etc/rsyslog.d/*.conf ).

Конфигурационные директивы почтового модуля ommail для RSyslog: Читать далее

Декабрь 30, 2008 Posted by | Заметки..., Linux | | 5 комментариев

Настройка RSyslog на запись в базу данных MySQL (PostgreSQL …)

Я уже писал про удобный путь обработки и хранения логов открываемый RSyslog’ом. Но сразу, «из коробки», все не заработает в «удобном режиме», поэтому необходимо провести настройку системы под свои требования.

rsyslog-mysql-postgresql

Настройка вывода  RSyslog на запись в базу данных является основным шагом в построении удобной системы сбора и анализа логов.  Для хранения сообщений не в файлах а в базе данных, необходимо использовать подготовленную базу данных. Её можно создать исполнив код файла «createDB.sql», поставляемого с пакетом rsyslog. Данных скрипт создаст необходимую для хранения сообщений RSyslog’а структуру таблиц.

Базовая конфигурация RSyslog, используемая для записи сообщений в базу данных MySQL Читать далее

Декабрь 29, 2008 Posted by | Linux | | Оставьте комментарий