admin.txt

… заметки IT’шника…

Email нотификация RSyslog с фильтрацией сообщений для разных получателей.

rsyslog-mailДанный пост продолжает тему использования  Email нотификаций (через SMTP) о событиях полученных демоном RSyslog. Однозначно и с уверенностю могу сказать, что сидеть в веб-интерфейсе (phpLogCon) и постоянно просматривать текущие события — дело нудное и бесполезное. Если вы хотите получить реальную пользу от внедрения RSyslog, то нужно делать почовую нотификацию на заинтересованных лиц (админов конретных сервисов/серверов).

В прошлом посте я писал об основах конфигурирования модуля для отправки почты. Сейчас, уже поработав  некоторое время с данной системой, могу выложить мой текущий конфиг. В этом конфиге я отсылаю разные сообщения на разные ящики и могу отсеивать не нужные нотификации. Фильтрация сообщений основана на Facility.Serverity классификации, плюс фильтрация на основе вхождения в текст сообщения определенного текста. Первая часть конфига — общая, служит для отправки уведомлений на сообщения с уровнем важности (serverity) начиная от err (ошибка), в не зависимости от источника (facility) события. Вторая часть — нотификация сетевого админа о событиях на коммутационном оборудовании, которое шлет сообщения с facility=local7. Дополнительно, на нотификации от коммутаторов уровень важности включает еще и предупреждения. Одинаково в обоих случаях реализована фильтрация сообщений, используя конструкцию:

if not ($msg contains 'Кусок текста по которому фильтуем')......... Читать далее

Май 14, 2009 Posted by | Linux | , | 1 комментарий

Настройка отправки логов c хостов-клиентов на сервер RSyslog.

Имея запущенный сервер сбора логов на основе Rsyslog, прослушивающий 514 порт TCP и UDP протоколов и настроенный на фильтрацию с последующей записью логов в базу данных (например MySQL). Необходимо настроить, так сказать, «клиентское окружение», т.е. все те хосты и устройства, логи с которых необходимо централизованно хранить и обрабатывать (отправку логов на удаленный сервер поддерживают не только *.nix машины, но и любые устройства поддерживающие общепринятый формат сообщений syslog’а. Напрмер, ADSL модемы и сетевые коммутаторы.) .

При настройке устройств на отправку логов удаленному серверу возможны несколько вариантов:

  • Настройка визуальными средствами, используя заложенные производителем методы конфигурации (web- интерфейс свитчей или модемов, интерфейс клиента ESXi);
  • Настойка системного демона syslogd, правкой конфигурационного файла (*nix системы), процесс описан ниже по тексту;
  • Замена системного syslogd на RSyslog (например, для более гибкой фильтрации логов, записи сообщений сразу в удаленную базу или при конфигурировании промежуточного сервера сбора логов (relay сервер)).
  • Настройка хоста под управлением ОС Windows, для чего пока есть только платные варианты (используя EventReporter или MonitorWare Agent).

Тут картко опишу настройку стандартного демона обработки логов syslog, для пересылки их на удаленный сервер, итак Читать далее

Декабрь 31, 2008 Posted by | Linux, Uncategorized | | Оставьте комментарий

Настройка ESXi хостов для отправки логов на удаленный сервер.

Конфигурирование хостов ESXi на пересылку логов производится через графический интерфейс клиента виртуальной инфраструктуры. Для настройки выбранного хоста необходимо, выделив хост в левой части окна, на вкладке Configuration хоста выбрать пункт Advanced Settings:

Настройка хоста ESXi на пересылку логов.

Настройка хоста ESXi на пересылку логов.

В появившемся окне настроек необходимо в левой части выбрать Читать далее

Декабрь 31, 2008 Posted by | Uncategorized | , | 1 комментарий

Фильтрация сообщений, при их обработке в RSyslog.

Базовые опции фильтрации основаны на структуре facility.serverity, применяемой в syslogd. Однако RSyslog позволяет расширить функционал, добавляя использование выражений (expression-based filters) и фильтров на основе свойств сообщения (property-based filters).

Фильтрация на основе свойств позволяет построить обработку, опираясь на свойства сообщений, такие как: HOSTNAME, syslogtag и msg (полный список свойств сообщения можно найти по ссылке ниже, в разделе Available Properties). Фильтр на основе свойств должен начинаться с двоеточия, это говорит rsyslog, что используется новый тип фильтра. После двоеточия следует имя свойства сообщения, запятая, имя выполняемой операции сравнения, запятая и последнее — значение для сравнения. Значение должно быть заключено в кавычки. Между запятыми могут присутствовать пробелы или табуляции. Имена свойств и операций сравнения чувствительны к регистру. Примерный шаблон фильтра выглядит так:

:property, [!]compare-operation, "value"

Поддерживаются следующие операции сравнения:

contains — проверка, содержит ли свойство указанное значение.

isequal — сравнивает строку value с содержимым свойства, они должны быть полностью одинаковы.

startswith — проверяет что свойство начинается со строки value.

regex — сравнивает свойство с заданным регулярным выражением. Читать далее

Декабрь 31, 2008 Posted by | Linux | | 3 комментария

Описание конфигурационного файла RSyslog, основные моменты.

Основной конфигурационный файлRSyslog расположен /etc/rsyslog.conf, дополнительные конфигурационные файлы для RSyslog расположены по пути /etc/rsyslog.d/ и имеют расширение *.conf . Дополнительные файлы включаются в основной конфигурационный файл в момент запуска сервиса и служат для выделения отдельных (независимых) задач из основного файла. Строки, начинающиеся с символа # и пустые строки игнорируются.
Демон RSyslog имеет модульную архитектуру, что позволяет гибко настроить демона под свои нужды. Модули подключаются директивой $ModLoad, конфигурационного файла. Основные моменты конфигурационного файла:

  • $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat — использование стандартной точности временной отметки. Для высокоточных меток необходимо закомментировать эту диретиву.
  • $FileOwner root — владелец создаваемых файлов;
  • $FileGroup adm — группа владельца файлов;
  • $FileCreateMode 0640 — разрешения создаваемых файлов;
  • $IncludeConfig /etc/rsyslog.d/*.conf — подключение дополнительных конфигурационных файлов.
  • imuxsock — модуль позволяет вести логирование локальной системы;
  • imklog — модуль включает поддержку kernel logging (раньше использовался rklogd)
  • immark — модуль позволяет использовать метки, поступающие через определенный интервал времени.
  • imudp — модуль позволяет принимать syslog сообщения на заданном UDP порту (заменяет опцию -r при запуске демона), требуется конфигурация параметра $UDPServerRun, например:
  • $ModLoad imudp
    $UDPServerRun 514

  • imtcp — модуль позволяет принимать сообщения на указанном TCP порту Читать далее

Декабрь 31, 2008 Posted by | Linux, Uncategorized | | Оставьте комментарий

E-mail нотификация RSyslog, используя smtp без авторизации.

Продолжая серию заметок про мой опыт работы с rsyslog, хочу написать про настройку почтовой нотификации.

rsyslog-mailRSyslog позволяет гибко настроить e-mail нотификацию по определенным условиям. Для нотификации используется smtp сервер, не требующий авторизации. Для использования нотификации необходимо подключить модуль ommail и сконфигурировать параметры (получателя, сервер, тему, тело письма и др.). Приведенные ниже настройки вносятся в основной конфигурационный файл /etc/rsyslog.conf (либо в *.conf файл в папке /etc/rsyslog.d/ в случае подключения дополнительных конфигурационных файлов директивой основного файла: $IncludeConfig /etc/rsyslog.d/*.conf ).

Конфигурационные директивы почтового модуля ommail для RSyslog: Читать далее

Декабрь 30, 2008 Posted by | Заметки..., Linux | | 5 комментариев