Cómo configurar el registro remoto en Linux usando rsyslog

El registro es un aspecto crítico de la administración del servidor Linux. Los mensajes de registro son útiles para el análisis de la causa raíz y para evitar posibles errores en el futuro. El análisis y la depuración de errores del servidor es una habilidad fundamental tanto para los ingenieros de TI como para los administradores de sistemas.

Esta guía le mostrará cómo configurar un servidor de registro remoto, también conocido como host de registro, en Linux. Un host de registro le permite agregar registros locales de Linux a un servidor centralizado remoto para facilitar el acceso y el análisis.

¿Por qué tener un servidor de registro dedicado?

El sistema operativo Linux registra la mayoría de las actividades en su servidor para auditar y depurar usando el daemon syslog (protocolo de registro del sistema). Quizás se esté preguntando, ¿por qué necesito un servidor dedicado para mis registros? Aquí hay algunas ventajas de tener un servidor de registro dedicado:

• Mejor seguridad porque el servidor de registro remoto solo tiene unos pocos puertos abiertos al exterior.
instagram viewer
• Rendimiento del servidor mejorado porque el host de registro remoto no ejecuta muchos servicios, excepto los que se utilizan para el registro.
• Facilita el archivado y la gestión de mensajes de registro.

Los mensajes de registro son importantes para auditar sus servidores y la línea de base, y son una parte fundamental de los procedimientos de mantenimiento preventivo en la infraestructura de su servidor.

Paso 1: Instalar rsyslog en Linux

Esta guía se enfoca en Ubuntu 20.04, pero el proceso debería ser más o menos el mismo si está utilizando otras distribuciones principales de Linux.

rsyslog es un servicio de registro remoto para Linux y viene preinstalado de forma predeterminada en la mayoría de las distribuciones modernas de Linux, por ejemplo, Ubuntu y otros sistemas basados ​​en Debian.

El servicio rsyslog es un demonio moderno y mejorado para syslog, que solo le permite administrar registros localmente. Con el demonio rsyslog, puede enviar sus registros locales a algún servidor Linux remoto configurado.

Si no tiene rsyslog instalado en su PC, puede hacerlo fácilmente usando el siguiente comando, en distribuciones basadas en Debian:

sudo apt install rsyslog

En Red Hat Linux, puede instalarlo escribiendo:

yum instalar rsyslog

En Fedora y sus derivados, ejecute:

dnf instalar rsyslog

Para instalar rsyslog en Arch Linux:

yay-S rsyslog

Para verificar el estado de rsyslog, ejecute el siguiente comando:

systemctl estado rsyslog

Producción:

Paso 2: Configuración del servidor de host de registro

El host de registro es el servidor configurado para recibir mensajes de registro de otros servidores o PC. La configuración de rsyslog reside en el /etc/rsyslog.conf expediente.

Puedes abrir el /etc/rsyslog.conf archivo usando cualquier editor de texto de su elección. En esta guía, usaremos Vim.

Necesitará privilegios elevados para realizar cambios en el archivo de configuración.

Antes de comenzar a editar el archivo de configuración, debe realizar una copia de seguridad o una copia del archivo. Para hacerlo, ejecute el comando:

sudo cp /etc/rsyslog.conf /etc/rsyslog_original.config

A continuación, abra el /etc/rsyslog.conf archivo utilizando un editor de texto.

sudo vim /etc/rsyslog.conf 

Hay dos protocolos que puede usar para enviar/recibir archivos de registro con rsyslog: TCP y UDP. Esta guía le muestra cómo configurar ambos.

No necesita configurar tanto UDP como TCP para que funcione el registro remoto. Solo elige uno de los dos.

Si prefiere usar UDP, busque y elimine los comentarios de las siguientes líneas eliminando el encabezado Libra (#) símbolo que precede a las líneas. Puede encontrar estas líneas en la sección de módulos del archivo de configuración.

módulo (cargar="imudp")
entrada (tipo = "imudp" puerto = "514")

Si prefiere usar TCP, elimine los comentarios de las siguientes líneas eliminando el encabezado Libra (#) símbolo situado al principio de las líneas:

módulo (cargar="imtcp")
entrada (tipo = "imtcp" puerto = "514")

La siguiente figura muestra el archivo de configuración rsyslog configurado para usar la comunicación UDP:

A continuación, configure la ubicación donde rsyslog almacenará sus registros. Para una mejor organización, debe categorizar los registros entrantes por su origen. Defina una plantilla en su archivo de configuración rsyslog agregando las siguientes líneas:

$plantilla de registros entrantes remotos, "/var/log/remote/%HOSTNAME%".log
*.* ?registros entrantes remotos

Las líneas antes mencionadas ordenan a rsyslog que almacene los registros en la carpeta /var/log/remote/hostname, donde nombre de host es el nombre del cliente remoto que envía mensajes de registro al host de registro.

Ahora, guarde los cambios que ha realizado. Si está utilizando Vim, aquí es cómo guardar y salir de un archivo.

Finalmente, reinicie los servicios de rsyslog para que los cambios realizados surtan efecto.

sudo systemctl reiniciar rsyslog

Paso 3: Configuración de su cortafuegos

Si su firewall está habilitado, asegúrese de que el puerto que configuró anteriormente pueda comunicarse con el mundo exterior. Deberá editar las reglas de su firewall para permitir los registros entrantes.

Para distribuciones basadas en Debian, simplemente use la herramienta UFW para habilitar el protocolo de transferencia UDP o TCP.

Relacionados: Cómo configurar el cortafuegos en Ubuntu usando UFW

Si está utilizando UDP, ejecute el siguiente comando, donde 514 es el número de puerto configurado:

sudo ufw 514/udp

Si está utilizando TCP en el puerto 514, simplemente ejecute:

sudo ufw 514/tcp

En Fedora, puede usar cortafuegos-cmd para lograr resultados similares.

firewall-cmd --zone=zone --add-port=514/udp

Para Red Hat Linux, abra el iptables archivo ubicado en /etc/sysconfig/iptables utilizando el editor de texto de su elección y agregue la siguiente regla:

-A ENTRADA -m estado --estado NUEVO -m udp -p udp --dport 514 -j ACEPTAR

Reinicie el servicio de iptables para que los cambios surtan efecto.

servicio de reinicio de iptables

Paso 4: Configuración del cliente de registro

El cliente es la máquina que envía sus registros a un servidor de registro remoto o centralizado. Abra el archivo de configuración rsyslog ubicado en /etc/rsyslog.conf:

sudo vim /etc/rsyslog.conf

Agregue la siguiente línea si está utilizando UDP, donde 192.168.12.123 es la dirección IP del servidor remoto, escribirá sus registros en:

*.* @192.168.12.123:514

Si está utilizando TCP, agregue la siguiente línea en su lugar. Tenga en cuenta que la línea tiene dos @ simbolos

*.* @@192.168.12.123:514

Guarde sus cambios y reinicie el servicio rsyslog en el cliente con el comando:

sudo systemctl reiniciar rsyslog

Paso 5: Ver los mensajes de registro en el servidor

Puede usar SSH para iniciar sesión en su servidor remoto y ver los registros enviados desde los servidores del cliente. En este caso, rsyslog está configurado para que almacene los registros del cliente en el /var/log/remote directorio del servidor remoto.

cd /var/logs/remoto

Luego liste el contenido del directorio usando el comando ls:

ls-l

Como puede ver en el resultado, el directorio contiene mensajes de registro para los servidores remotos denominados andiwa y rukuru. Sus archivos de registro se denominan andiwa.log y rukuru.log respectivamente.

A continuación, puede consultar los archivos de registro con un editor de texto o con Herramientas de visualización de archivos de Linux como gato o menos.

El registro remoto le da más control

Esta guía ha analizado cómo configurar un servidor de registro remoto (host de registro) en Linux.

Un host de registro le ofrece una mejor organización y control en lo que respecta al registro. Incluso en escenarios en los que un sistema está dañado o es inaccesible, aún puede ver sus registros desde el host de registro y averiguar qué salió mal.

Primeros pasos con el registro del sistema en Linux

Leer siguiente

Sobre el Autor