بصورت معمول اجزای تشکیل دهنده syslog سرور که معمولا در اکثر سیستم ها مشترک هستند به شرح زیر می باشند :
مفهوم Syslog Listener : یک Syslog Server به این نیاز دارد که پیام هایی که تحت شبکه ارسال می شوند را به درستی دریافت کند. فرآیند Listener اطلاعات مربوط به log های Syslog را بر روی پورت شماره 514 که بصورت UDP هم هست و در شبکه ارسال می شوند را دریافت می کند در واقع می توان از Listener به عنوان دریافت کننده پیام های Syslog در شبکه نام برد. همانطور که می دانید بسته های اطلاعاتی UDP و البته پیام هایی که بصورت UDP ارسال می شوند هیچ تضمینی ندارند که قطعا به مقصد می رسند و acknowledge یا تاییده دریافت شدن در مقصد را نیز دریافت نمی کنند ، بنابراین به این موضوع توجه کنید که برخی از تجهیزات شبکه برای اینکه مطمئن شوند اطلاعات Syslog آنها به درستی به مقصد می رسند به جای استفاده کردن از 514 UDP از پورت 1468 TCP استفاده می کنند . برای راه اندازی یک syslog server حتما توجه کنید که دستگاه یا سیستم عامل مورد نظر از چه شماره پورتی و بصورت UDP یا TCP اطلاعاتش را منتقل می کند تا این پورت ها در فایروال های شبکه باز شوند.
مفهوم Database یا پایگاه داده Syslog : درست است که اطلاعات مربوط به لاگهای هر سیستم با توجه به ماهیت text آنها کم به نظر می رسد اما زمانیکه در خصوص شبکه های بسیار بزرگ و تعداد تجهیزات زیاد صحبت می کنیم حجم این داده ها می تواند بسیار بسیار زیاد شود. Syslog سرورهای معمولی دارای پایگاه داده یا Database نیستند و نمی توانند این حجم اطلاعات را درون خودشان بصورت ساختارمند نگهداری کنند اما Syslog سرورهای قدرتمند برای نگهداری این حجم از داده برای خودشان دارای یک Database می باشند.
نرم افزار مدیریت و فیلترینگ : با توجه به اینکه ممکن است مقادیر بسیار زیادی از داده ها در دیتابیس Syslog Server ذخیره شده باشد ، پیدا کردن یک log خاص در بین این همه داده کار بسیار طاقت فرسا و خسته کننده ای خواهد بود. راهکار این مشکل استفاده از یک Syslog سرور است که توانایی مرتب سازی و البته فیلتر کردن log ها را داشته باشد و بتواند بر اساس نیاز شما بر روی لاگها جستجو انجام بدهد. یک Syslog سرور بایستی بتواند در موارد تعریف شده و در صورت بروز مشکل Alert یا اخطار تولید کند و این Alert بر اساس لاگهایی که مدیر شبکه تعریف می کند تهیه و ارسال می شوند ، Alert و Notification جزء جدانشدنی Syslog سرور هستند. این موارد به مدیر شبکه کمک می کنند تا در صورت بروز مشکل بلافاصله بتواند به آن رسیدگی کند.
#linux #log #syslog #rsylog @unixmens
مفهوم Syslog Listener : یک Syslog Server به این نیاز دارد که پیام هایی که تحت شبکه ارسال می شوند را به درستی دریافت کند. فرآیند Listener اطلاعات مربوط به log های Syslog را بر روی پورت شماره 514 که بصورت UDP هم هست و در شبکه ارسال می شوند را دریافت می کند در واقع می توان از Listener به عنوان دریافت کننده پیام های Syslog در شبکه نام برد. همانطور که می دانید بسته های اطلاعاتی UDP و البته پیام هایی که بصورت UDP ارسال می شوند هیچ تضمینی ندارند که قطعا به مقصد می رسند و acknowledge یا تاییده دریافت شدن در مقصد را نیز دریافت نمی کنند ، بنابراین به این موضوع توجه کنید که برخی از تجهیزات شبکه برای اینکه مطمئن شوند اطلاعات Syslog آنها به درستی به مقصد می رسند به جای استفاده کردن از 514 UDP از پورت 1468 TCP استفاده می کنند . برای راه اندازی یک syslog server حتما توجه کنید که دستگاه یا سیستم عامل مورد نظر از چه شماره پورتی و بصورت UDP یا TCP اطلاعاتش را منتقل می کند تا این پورت ها در فایروال های شبکه باز شوند.
مفهوم Database یا پایگاه داده Syslog : درست است که اطلاعات مربوط به لاگهای هر سیستم با توجه به ماهیت text آنها کم به نظر می رسد اما زمانیکه در خصوص شبکه های بسیار بزرگ و تعداد تجهیزات زیاد صحبت می کنیم حجم این داده ها می تواند بسیار بسیار زیاد شود. Syslog سرورهای معمولی دارای پایگاه داده یا Database نیستند و نمی توانند این حجم اطلاعات را درون خودشان بصورت ساختارمند نگهداری کنند اما Syslog سرورهای قدرتمند برای نگهداری این حجم از داده برای خودشان دارای یک Database می باشند.
نرم افزار مدیریت و فیلترینگ : با توجه به اینکه ممکن است مقادیر بسیار زیادی از داده ها در دیتابیس Syslog Server ذخیره شده باشد ، پیدا کردن یک log خاص در بین این همه داده کار بسیار طاقت فرسا و خسته کننده ای خواهد بود. راهکار این مشکل استفاده از یک Syslog سرور است که توانایی مرتب سازی و البته فیلتر کردن log ها را داشته باشد و بتواند بر اساس نیاز شما بر روی لاگها جستجو انجام بدهد. یک Syslog سرور بایستی بتواند در موارد تعریف شده و در صورت بروز مشکل Alert یا اخطار تولید کند و این Alert بر اساس لاگهایی که مدیر شبکه تعریف می کند تهیه و ارسال می شوند ، Alert و Notification جزء جدانشدنی Syslog سرور هستند. این موارد به مدیر شبکه کمک می کنند تا در صورت بروز مشکل بلافاصله بتواند به آن رسیدگی کند.
#linux #log #syslog #rsylog @unixmens
خوب حالا از server2 خارج شده و روی سرور کلاینت یا server1 می رویم و مجددا فایل rsyslog.conf را باز می کنیم و مقادیر زیر را در انتهای فایل وارد می کنیم :
# remote host is: name/ip:port, e.g. 172.16.1.1:514, port optional
#*.* @remote-host:514
*.* @10.10.10.1:514
خوب دستور بالا به این شکل تحلیل می شود که هر نوع facility با هر نوع priority رو برای آدرس IP به شماره 10.10.10.1 روی پورت 514 از نوع UDP ارسال کن ، دقت کنید که نماد @ یعنی TCP در اینجا و اگر دو @@ باشد یعنی TCP ، اگر قرار هست که فقط یک نوع خاص از facility ها را منتقل کنید دستور به شکل زیر وارد می شود :
*.info @10.10.10.1:514
دستور بالا تمامی facility ها را به همراه priority حالت info و بالاتر را برای ادرس IP تعریف شده ارسال می کنند ، بعد از انجام شدن تغییرات ذکر شده بایستی مجددا سرویس rsyslog را در کامپیوتر کلاینت restart کنیم ، برای اینکار دستور زیر را وارد می کنیم :
[root@server2 ~]# service rsyslog restart
خوب حالا کار ما تقریبا تمام شده است ، ما کاری کردیم که هر نوع syslog message ای از هر نوع facility و با هر درجه priority از server1 به سمت server2 منتقل شود. حالا نوبت آن است که اینها را تست کنیم ، برای تیت کردن تنظیمات ما از server1 با استفاده از دستور logger می توانیم بصورت دستی ثبت log کنیم که در server2 ثبت خواهند شد ، به دستور پایین دقت کنید :
[root@server1 ~]# logger This is www.tst.com
حالا بر روی server2 که rsyslog server ما هست وارد قسمت messages در مسیر زیر می شویم و پیام بالا را مشاهده می کنیم :
[root@server2 ~]# tail /var/log/messages
Dec 25 00:00:01 server2 root: This is www.tst.com
خوب همانطور که مشاهده می کنید log ها به سمت سرور مورد نظر ارسال شده اند ، دقت کنید که محل قرارگیری log ها در سرور syslog بستگی به نوع log دارد ، طبیعی است که در این شرایط خاص log های ما در قسمت messages قرار خواهد گرفت. شما زمانیکه از یک روتر استفاده می کنید و اندازه حافظه داخلی آن کم است می توانید از syslog برای لاگ برداری استفاده کنید
#linux #log #syslog #rsylog @unixmens
# remote host is: name/ip:port, e.g. 172.16.1.1:514, port optional
#*.* @remote-host:514
*.* @10.10.10.1:514
خوب دستور بالا به این شکل تحلیل می شود که هر نوع facility با هر نوع priority رو برای آدرس IP به شماره 10.10.10.1 روی پورت 514 از نوع UDP ارسال کن ، دقت کنید که نماد @ یعنی TCP در اینجا و اگر دو @@ باشد یعنی TCP ، اگر قرار هست که فقط یک نوع خاص از facility ها را منتقل کنید دستور به شکل زیر وارد می شود :
*.info @10.10.10.1:514
دستور بالا تمامی facility ها را به همراه priority حالت info و بالاتر را برای ادرس IP تعریف شده ارسال می کنند ، بعد از انجام شدن تغییرات ذکر شده بایستی مجددا سرویس rsyslog را در کامپیوتر کلاینت restart کنیم ، برای اینکار دستور زیر را وارد می کنیم :
[root@server2 ~]# service rsyslog restart
خوب حالا کار ما تقریبا تمام شده است ، ما کاری کردیم که هر نوع syslog message ای از هر نوع facility و با هر درجه priority از server1 به سمت server2 منتقل شود. حالا نوبت آن است که اینها را تست کنیم ، برای تیت کردن تنظیمات ما از server1 با استفاده از دستور logger می توانیم بصورت دستی ثبت log کنیم که در server2 ثبت خواهند شد ، به دستور پایین دقت کنید :
[root@server1 ~]# logger This is www.tst.com
حالا بر روی server2 که rsyslog server ما هست وارد قسمت messages در مسیر زیر می شویم و پیام بالا را مشاهده می کنیم :
[root@server2 ~]# tail /var/log/messages
Dec 25 00:00:01 server2 root: This is www.tst.com
خوب همانطور که مشاهده می کنید log ها به سمت سرور مورد نظر ارسال شده اند ، دقت کنید که محل قرارگیری log ها در سرور syslog بستگی به نوع log دارد ، طبیعی است که در این شرایط خاص log های ما در قسمت messages قرار خواهد گرفت. شما زمانیکه از یک روتر استفاده می کنید و اندازه حافظه داخلی آن کم است می توانید از syslog برای لاگ برداری استفاده کنید
#linux #log #syslog #rsylog @unixmens
نکته : rsyslog نسخه ویندوزی هم دارد که میتوانید در سیستم های ویندوزی نصب کنید
https://www.rsyslog.com/windows-agent/event-log-format-windows-agent/
https://www.winsyslog.com/
#log #syslog #rsylog @unixmens
https://www.rsyslog.com/windows-agent/event-log-format-windows-agent/
https://www.winsyslog.com/
#log #syslog #rsylog @unixmens
rsyslog
Event Log Format - Windows Agent
Integrating Windows into the Enterprise Logging structure is obviously important. With rsyslog, this can be done with minimal hassle.
The rsyslog Windows Agent support all native Window Event Log formats. It both the new Windows Event Log system introduced…
The rsyslog Windows Agent support all native Window Event Log formats. It both the new Windows Event Log system introduced…
نکته : خود وبسایت rsyslog بخشی برای ایجاد ساختار کانفیق rsyslog بصورت ویزاردی دارد
https://www.rsyslog.com/rsyslog-configuration-builder/
#log #syslog #rsylog @unixmens
https://www.rsyslog.com/rsyslog-configuration-builder/
#log #syslog #rsylog @unixmens
نکته : پلاگین های مربوط به rsyslog را می توانید از این بخش استفاده کنید :
https://www.rsyslog.com/plugins/
#linux #log #syslog #rsylog @unixmens
https://www.rsyslog.com/plugins/
#linux #log #syslog #rsylog @unixmens
rsyslog
Plugins - rsyslog
This table shows all the input, message modification and output plugins. Input Message Modification Output 3195 anon elasticsearch auditd audit file file count fwd gssapi fields gssapi journal jsonparse hdfs klog normalize hiredis kmsg pstrucdata Journal…
نکته : با استفاده از log analyzer میتوانید rsyslog را بصورت تحت وب استفاده کنید
https://loganalyzer.adiscon.com/
#linux #log #syslog #rsylog #loganalyzer @unixmens
https://loganalyzer.adiscon.com/
#linux #log #syslog #rsylog #loganalyzer @unixmens