home       inleiding       sysadmin       services       links       bash       werk       nothing      

Rsyslog

 
We gebruiken twee ubuntu 14.04 servers.
Op de rsyslog server passen we straks het bestand /etc/rsyslog.conf aan, op de andere machine (in mijn geval een apache-server) die fungeert als rsyslog-client passen we straks het bestand /etc/rsyslog.d/50-default.conf aan.
 

  1. rsyslog server
     
    Zoek in het bestand  /etc/rsyslog.conf de volgende regels:
    # provides UDP syslog reception
    $ModLoad imudp
    $UDPServerRun 514
     
    # provides TCP syslog reception
    $ModLoad imtcp
    $InputTCPServerRun 514

    ... en verwijder de # van de hogere 4 configuratie regels
     
    Herstart daarna de syslog server als volgt:
     
    $ sudo service rsyslog restart
     

  2. rsyslog client
     
    Zet in het bestand   /etc/rsyslog.d/50-default.conf het volgende, ergens bovenaan (zelf toevoegen):
     
    *.* @<your-syslog-server-ip>:514
     
    voorbeeld:
    #  Default rules for rsyslog.
    #
    #           For more information see rsyslog.conf(5) and /etc/rsyslog.conf
     
    # RSYSLOG to 10.104.201.10
    *.*                         @10.104.201.10:514
     
    #
    # First some standard log files.  Log by facility.
    #
    auth,authpriv.*         /var/log/auth.log
    *.*;auth,authpriv.none      -/var/log/syslog
    ... 

     
    Vergeet ook niet /etc/hostname en /etc/hosts goed te zetten:
     
    voorbeeld:

    bert@apache-bert:~$ cat /etc/hostname
    apache-bert
    bert@apache-bert:~$ cat /etc/hosts
    127.0.0.1   apache-bert localhost
    127.0.1.1   ub14.3  ub14

    zorg er voor dat localhost in de /etc/hosts file niet op de eerste plaats staat.
     

  3. testen
     
    op de server tik je het volgende commando in:
     
    $ watch grep <client-name> /var/log/auth.log
     
    (vervang door de hostname van de syslog-client)
    voorbeeld:
    $ watch grep apa /var/log/auth.log
     
    op de client kun je nu een service herstarten. Dit komt enkele seconden (soms een minuut later) terecht op de server:
    bert@apache-bert:~$ date
    Tue Oct 25 10:14:46 CEST 2016
    bert@apache-bert:~$ sudo service apache2 restart
    [sudo] password for bert: 
    * Restarting web server apache2                                                             AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1. Set the 'ServerName' directive globally to suppress this message

     
    en op de rsyslog-server zie ik nu het volgende:

    Every 2.0s: grep apa /var/log/auth.log  Tue Oct 25 10:20:54 2016
     
    Oct 25 09:53:37 apache-bert sudo: pam_unix(sudo:session): session opened for user root by bert(uid=0)
    Oct 25 09:53:38 apache-bert sudo: pam_unix(sudo:session): session closed for user root
    Oct 25 10:14:51 apache-bert sudo:     bert : TTY=pts/0 ; PWD=/home/bert ; USER=root ; COMMAND=/usr/sbin/service apache2 restart
    Oct 25 10:14:51 apache-bert sudo: pam_unix(sudo:session): session opened for user root by bert(uid=0)
    Oct 25 10:14:52 apache-bert sudo: pam_unix(sudo:session): session closed for user root
    Oct 25 10:17:01 apache-bert CRON[1574]: pam_unix(cron:session): session opened for user root by (uid=0)
    Oct 25 10:17:01 apache-bert CRON[1574]: pam_unix(cron:session): session closed for user root
    Oct 25 10:17:19 apache-bert sudo:     bert : TTY=pts/0 ; PWD=/home/bert ; USER=root ; COMMAND=/usr/sbin/service apache2 restart
    Oct 25 10:17:19 apache-bert sudo: pam_unix(sudo:session): session opened for user root by bert(uid=0)
    Oct 25 10:17:22 apache-bert sudo: pam_unix(sudo:session): session closed for user root