Arquivo /etc/rsyslog.conf

Configurando o registro em log do sistema.

12 12America/Sao_Paulo março 12America/Sao_Paulo 2018 Off Por Sidney silva santos

Com o conhecimento de como acessar o servidor remoto usando ferramentas SSH, você pode fazer login no servidor e configurar alguns dos serviços necessários para se certificar de que estão funcionando perfeitamente. O registro em log do sistema é um dos serviços básicos configurados para Linux para monitorar o que está acontecendo no sistema.

O serviço rsyslog (daemon rsyslogd ) fornece os recursos para coletar as mensagens de registro em log de aplicativos em execução no sistema Linux e direcionar essas mensagens para arquivos de log locais, dispositivos ou hosts de log remotos. A configuração de rsyslog é semelhante à configuração de seu predecessor, syslog . Mas rsyslog permite adicionar módulos para mais especificamente administrar e direcionar as mensagens de log.

Ativando o log do sistema com rsyslog

A maioria dos arquivos no diretório de /var/log é mantida pelo serviço rsyslog. O daemon rsyslogd é o de registro em log do sistema. Ele aceita mensagens de log de vários outros programas e grava essas mensagens nos arquivos de log apropriados. Isso é melhor do que ter todos os programas gravando diretamente em seu próprio arquivo de log, porque permite que você gerencie centralmente como os arquivos de log são tratados.

É possível configurar rsyslogd para gravar vários níveis de detalhe nos  arquivos de log.

Pode-se instruí-lo a ignorar tudo, exceto as mensagens mais críticas ou ele pode registrar em log cada detalhe.

O daemon rsyslogd pode até aceitar mensagens de outros computadores em sua rede.

Esse recurso de log remoto é particularmente útil porque permite centralizar o gerenciamento e revisão dos arquivos de log de muitos sistemas em sua rede. Há também um importante benefício de segurança nessa prática.

Com o registro em log remoto, se um sistema em sua rede for invadido, o cracker não pode excluir ou modificar os arquivos de log porque eles são armazenados em um computador separado. É importante lembrar, porém, que essas mensagens de log não são, por padrão, criptografadas. Qualquer pessoa que consiga espionar o tráfego de dados da sua rede local pode ler as mensagens que passam de uma máquina para outra.

Além disso, embora o cracker possa não ser capaz de alterar as entradas de log antigas, ele pode afetar o sistema de tal forma que as novas mensagens de log podem não ser confiáveis.

Não é incomum executar um servidor de logs dedicado, um computador que não serve a nenhum propósito além de gravar mensagens de log de outros computadores na rede, porque, como esse sistema não executa nenhum outro serviço, é improvável que seja invadido. Isso torna quase impossível para os crackers apagar completamente seus rastros.

Entendendo o arquivo rsyslog.conf

O arquivo /etc/rsyslog.conf é o principal arquivo de configuração do serviço rsyslog . Se já usou o antigo recurso syslog, você vai notar que a seção de regras é a mesma em  ambos os arquivos. Assim, a maneira de definir que tipo de mensagens são registradas e onde são registradas é exatamente o mesmo; mas os arquivos de configuração são  diferentes quanto ao uso de módulos em rsyslog.conf.

No arquivo /etc/rsyslog.conf , uma seção de módulos permite incluir ou não recursos específicos em seu serviço rsyslog . Eis um exemplo da seção de módulos /etc/rsyslog.conf no Servidor Debian:

[caption id="attachment_1209" align="alignnone" width="1024"]Arquivo /etc/rsyslog.conf Arquivo de configuração /etc/rsyslog.conf[/caption]

Módulos que estão atualmente desabilitados são precedidos por um sinal de jogo da velha (#). O módulo imuxsock é necessário para aceitar as mensagens de sistema locais (cuja linha que não deve ser “comentada” — precedida por um sinal de jogo da velha — a menos que você tenha uma razão específica para isso). O módulo imklog registra mensagens do kernel.

Módulos não habilitados por padrão incluem o módulo immark, que permite que mensagens –MARK– sejam registradas em log (usado para indicar que um serviço está ativo). Os módulos imudp e imtcp e entradas relacionadas de número de porta são usados para permitir que o serviço rsyslog aceite mensagens de log remotas e são discutidos em mais detalhes na seção

Configurando e usando um servidor de logs com rsyslogd

Entradas de regras vêm em duas colunas. Na coluna esquerda, estão designações das mensagens que são correspondidas e a coluna direita mostra onde entram as mensagens correspondentes. Mensagens são correspondidas com base em recursos ( mail, cron, kern etc.) e prioridade (começando em debug, info, notice e subindo até crit, alert e emerg ), separados por um ponto ( . ). Portanto, mail.info corresponde a todas as mensagens do serviço de e-mail que são de nível info e acima.

Quanto ao destino das mensagens, a maioria é direcionada para arquivos no diretório /var/log. Mas você pode direcionar as mensagens para um dispositivo (como /dev /console ou um host de log remoto @loghost.example.com). O sinal de arroba (@) indica que o nome que se segue é o nome do servidor de logs.

A primeira entrada no exemplo anterior mostra que as mensagens de nível informativo de todos os serviços ( * ) são correspondidas por essa regra, com exceção de mensagens dos serviços mail , authpriv e cron (que são excluídas com a palavra none ). Todas essas mensagens correspondidas são direcionadas para o arquivo /var/log/messages.

Os serviços mail, authpriv (mensagens de autenticação) e cron (mensagens do recurso cron ) têm seus próprios arquivos de log, como indicado nas colunas à direita deles. Para entender o formato desses e outros arquivos de log, o formato do arquivo /var/log/messages é descrito a seguir.

Entendendo o arquivo de log de mensagens

Por causa dos muitos programas e serviços que gravam informações no arquivo de log messages , entender o formato desse arquivo é importante. Você pode ser avisado a tempo sobre o desenvolvimento de problemas em seu sistema examinando esse arquivo.

Cada linha no arquivo é uma única mensagem registrada por algum programa ou  serviço. Eis um trecho de um arquivo de log messages real:

[caption id="attachment_1210" align="alignnone" width="1024"]Arquivo /var/log/messages Parte do arquivo /var/log/messagens[/caption]

As mensagens no arquivo /var/log/messages são divididas em cinco partes principais. Da esquerda para a direita, são elas:

  • A data e a hora em que a mensagem foi registrada
  • O nome do computador de onde a mensagem veio
  • O nome do programa ou serviço a que a mensagem se refere
  • O número do processo (entre colchetes) do programa que enviou a mensagem
  • A mensagem de texto real

Como deu pra ver esse arquivo grava as mensagens em tempo real passando a data e hora o nome do computador o (pid) processo de identificação e os serviços referêntes ao (pid).

Resumindo

Embora muitos tipos diferentes de servidores estejam disponíveis em sistemas Linux, o procedimento básico para a instalação e configuração de um servidor é essencialmente o mesmo. O curso normal dos eventos é instalar, configurar, iniciar, proteger e monitorar seus servidores. Tarefas básicas que se aplicam a todos os servidores incluem o uso de ferramentas de rede (especialmente ferramentas SSH) para efetuar o login, copiar arquivos ou executar comandos remotos. Como um administrador não pode ficar conectado para monitorar servidores o tempo todo, mais tarde, as ferramentas de coleta de dados e análise dos dados de registro em log são muito importantes na administração de servidores Linux. A instalação rsyslog pode ser utilizada para o registro em log local e
remoto.  Para monitorar o espaço em disco, você pode executar os comandos df e du .

Embora seja fácil configurar a rede para alcançar seus servidores em casos simples e padrões, uma configuração de rede mais complexa requer um conhecimento dos arquivos de configuração de rede e ferramentas relacionados.

Anúncios