Escolar Documentos
Profissional Documentos
Cultura Documentos
Pesquisa de site
Rsyslog é um sistema de processamento de log poderoso, seguro e de alto desempenho que aceita dados de diferentes tipos de
fonte (sistemas/aplicativos) e os envia em vários formatos.
Ele evoluiu de um daemon syslog regular para um sistema de registro de nível empresarial com todos os recursos. É projetado no
modelo cliente/servidor, portanto pode ser configurado como cliente e/ou como servidor central de registro para outros servidores,
dispositivos de rede e aplicativos remotos.
Ambiente de teste
Para o propósito deste guia, usaremos os seguintes hosts:
Servidor: 192.168.241.140
Cliente: 172.31.21.58
Uma vez instalado o rsyslog, você precisa iniciar o serviço por enquanto, ativá-lo para iniciar automaticamente na inicialização e
verificar seu status com o comando systemctl.
O arquivo de configuração principal do rsyslog está localizado em /etc/rsyslog.conf, que carrega módulos, define as diretivas
globais, contém regras para processar mensagens de log e também inclui todos os arquivos de configuração em /etc /rsyslog.d/
para vários aplicativos/serviços.
Por padrão, rsyslog usa os módulos imjournal e imusock para importar mensagens de log estruturadas do systemd journal e para
aceitar syslog mensagens de aplicativos em execução no sistema local por meio de soquetes Unix, respectivamente.
Para configurar o rsyslog como um servidor de log de rede/central, você precisa definir o protocolo (UDP ou TCP ou ambos) que ele
usará para recepção de syslog remoto, bem como o porta em que ele escuta.
https://pt.linux-console.net/?p=2371 1/5
15/01/2024, 01:26 Como configurar o servidor de registro central com Rsyslog no Linux
Se você quiser usar uma conexão UDP, que é mais rápida, mas não confiável, pesquise e descomente as linhas abaixo (substitua 514
pela porta em que deseja escutar, isso deve corresponda ao endereço da porta para a qual os clientes enviam mensagens, veremos
mais sobre isso ao configurar um cliente rsyslog).
$ModLoad imudp
$UDPServerRun 514
Para usar a conexão TCP (que é mais lenta, mas mais confiável), pesquise e descomente as linhas abaixo.
$ModLoad imtcp
$InputTCPServerRun 514
Em seguida, você precisa definir o conjunto de regras para processar logs remotos no seguinte formato.
Onde:
instalação: é o tipo de processo/aplicativo que gera mensagem, eles incluem auth, cron, daemon, kernel, local0..local7. Usar *
significa todas as facilidades.
severity_level: é o tipo de mensagem de log: emerg-0, alert-1, crit-2, err-3, warning-4, Notice-5, info-6, debug-7. Usar * significa
todos os níveis de gravidade e nenhum implica nenhum nível de gravidade.
destino: é um arquivo local ou servidor rsyslog remoto (definido no formato IP:porta).
Usaremos o seguinte conjunto de regras para coletar logs de hosts remotos, usando o modelo RemoteLogs. Observe que essas
regras devem vir antes de quaisquer regras de processamento de mensagens locais, conforme mostrado na captura de tela.
$template RemoteLogs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?RemoteLogs
& ~
A diretiva $template informa ao daemon rsyslog para reunir e gravar todas as mensagens remotas recebidas em logs distintos em
/var/log, com base no hostname (nome da máquina cliente) e instalação do cliente remoto (programa/aplicativo) que gerou as
mensagens conforme definido pelas configurações presentes no modelo RemoteLogs.
https://pt.linux-console.net/?p=2371 2/5
15/01/2024, 01:26 Como configurar o servidor de registro central com Rsyslog no Linux
A segunda linha \*.* ?RemoteLogs significa mensagens de registro de todas as instalações em todos os níveis de severidade usando
a configuração do modelo RemoteLogs.
A linha final \& ~ instrui o rsyslog a parar de processar as mensagens assim que forem gravadas em um arquivo. Se você não incluir
& ~, as mensagens serão em vez disso, ser gravado nos arquivos locais.
Existem muitos outros modelos que você pode usar, para obter mais informações, consulte a página do manual de configuração do
rsyslog (man rsyslog.conf) ou consulte a documentação on-line do Rsyslog.
É isso com a configuração do servidor rsyslog. Salve e feche o arquivo de configuração. Para aplicar as alterações recentes, reinicie o
daemon rsyslog com o seguinte comando.
Agora verifique os soquetes de rede rsyslog. Use o comando ss (ou grep para filtrar conexões rsyslogd.
Em seguida, no CentOS 7, se você tiver o SELinux ativado, execute os seguintes comandos para permitir o tráfego rsyslog com base
no tipo de soquete de rede.
Se o sistema tiver firewall habilitado, você precisa abrir a porta 514 para permitir ambas as conexões UDP/TCP ao servidor rsyslog,
executando.
Como configurar o cliente Rsyslog para enviar logs para o servidor Rsyslog
Agora, no sistema cliente, verifique se o serviço rsyslog está em execução ou não com o seguinte comando.
Assim que o serviço rsyslog estiver funcionando, abra o arquivo de configuração principal onde você fará alterações na configuração
padrão.
Para forçar o daemon rsyslog a agir como um cliente de log e encaminhar todas as mensagens de log geradas localmente para o
servidor rsyslog remoto, adicione esta regra de encaminhamento no final do arquivo, conforme mostrado na captura de tela a
seguir.
*. * @@192.168.100.10:514
https://pt.linux-console.net/?p=2371 3/5
15/01/2024, 01:26 Como configurar o servidor de registro central com Rsyslog no Linux
A regra acima enviará mensagens de todas as instalações e em todos os níveis de gravidade. Para enviar mensagens de um recurso
específico, por exemplo auth, use a seguinte regra.
auth. * @@192.168.100.10:514
Salve as alterações e feche o arquivo de configuração. Para aplicar as configurações acima, reinicie o daemon rsyslog.
Execute um comando ls para uma longa listagem do diretório de logs pai e verifique se há um diretório chamado ip-172.31.21.58 (ou
qualquer que seja o nome do host da sua máquina cliente).
$ ls -l /var/log/
$ sudo ls -l /var/log/ip-172-31-21-58/
Resumo
Rsyslog é um sistema de processamento de log de alto desempenho, projetado em uma arquitetura cliente/servidor. Esperamos
que você consiga instalar e configurar o Rsyslog como um servidor de registro central/de rede e como um cliente, conforme
demonstrado neste guia.
Você também pode consultar as páginas de manual relevantes do rsyslog para obter mais ajuda. Sinta-se à vontade para nos dar
qualquer feedback ou fazer perguntas.
https://pt.linux-console.net/?p=2371 4/5
15/01/2024, 01:26 Como configurar o servidor de registro central com Rsyslog no Linux
https://pt.linux-console.net/?p=2371 5/5