← До списку лабораторних по Linux
Повний опис / сценарій лабораторної:
Мета: навчитися налаштовувати rsyslog так щоб частина або усі логи дублювались на віддалений колектор. Крок 1. Перевірити що rsyslog встановлений та запущений. Команди: systemctl status rsyslog; sudo journalctl -u rsyslog -n 10 Крок 2. Визначити ip та порт центрального syslog сервера. Пояснення: для лабораторії можна використати іншу віртуальну машину з простим listener. Крок 3. Створити окремий конфігураційний файл для відправки. Команда: sudo nano /etc/rsyslog.d/50-remote.conf Пояснення: у цьому файлі задамо правило пересилки. Крок 4. Додати правило для відправки усіх повідомлень. Приклад рядка: *.* @@syslog.example:514 Пояснення: подвійна собака означає tcp, одинарна udp. Крок 5. Перезапустити rsyslog. Команда: sudo systemctl restart rsyslog Крок 6. Згенерувати тестове повідомлення через logger. Команда: logger -t lab48 "test remote syslog" Пояснення: це повідомлення має піти і у локальний журнал і на віддалений сервер. Крок 7. Перевірити на боці колектора що повідомлення надійшло. Пояснення: перегляньте відповідний лог файл або вихід демона. Крок 8. Налаштувати фільтр для обмеження обсягу пересилки. Пояснення: замініть *.* на, наприклад, authpriv.*, cron.*, або інші комбінації. Крок 9. Перезапустити rsyslog і ще раз відправити тестове повідомлення. Команда: logger -t lab48 "filtered remote syslog" Крок 10. Міні звіт. Завдання: опишіть переваги централізації логів для прод середовища і які ризики потрібно врахувати.