Unë kam një dobësi - më pëlqejnë sistemet e ndryshme të monitorimit. Kjo është, për mua, situata ideale është kur ju mund të shihni gjendjen e secilit komponent të sistemit në çdo moment në kohë. Me kohë reale, gjithçka është pak a shumë e qartë: mund të grumbulloni të dhëna dhe t'i shfaqni në një panel të bukur. Gjërat janë më të ndërlikuara me atë që ka ndodhur në të kaluarën, kur duhet të zbuloni ngjarje të ndryshme në një moment të caktuar dhe t'i lidhni ato me njëra-tjetrën.
Detyra në fakt nuk është aq e parëndësishme. Së pari, ju duhet të grumbulloni shkrime nga sisteme krejtësisht të ndryshme, të cilat shpesh nuk kanë asgjë të përbashkët me njëri-tjetrin. Së dyti, ato duhet të lidhen në të njëjtën shkallë kohore në mënyrë që ngjarjet të mund të lidhen me njëra-tjetrën. Dhe së treti, është e nevojshme të organizohet në mënyrë efikase ruajtja dhe kërkimi i kësaj sasie të madhe të të dhënave. Mirëpo, siç ndodh zakonisht, pjesa e vështirë tashmë ishte marrë para nesh. Po provoj disa opsione të ndryshme, kështu që do të bëj një mini-rishikim të asaj me të cilën kam punuar deri tani.
Shërbimet online
Opsioni më i thjeshtë, i cili funksionoi mirë për mua në fillim, është përdorimi i një shërbimi cloud. Mjete të tilla po zhvillohen në mënyrë aktive, duke ofruar mbështetje për një numër në rritje të grupeve të teknologjisë dhe duke u përshtatur me specifikat e sistemeve individuale IaaS/PaaS si AWS dhe Heroku.
Splunk
Si unë ashtu edhe Alexey Sintsov kohët e fundit kemi shkruar për këtë shërbim në një kolonë. Në përgjithësi, ky nuk është vetëm një grumbullues regjistrash, por një sistem i fuqishëm analitik me një histori të gjatë. Prandaj, detyra e mbledhjes së trungjeve dhe grumbullimit të tyre për përpunim dhe kërkim të mëtejshëm është një copë tortë për të. Ka më shumë se 400 aplikacione të ndryshme, duke përfshirë më shumë se njëqind në fushën e Menaxhimit të Operacioneve të TI-së, që ju lejojnë të mbledhni informacion nga serverët dhe aplikacionet tuaja.
me drurë
Ky shërbim tashmë është përshtatur posaçërisht për analizën e regjistrave dhe ju lejon të grumbulloni çdo lloj regjistrash teksti. Ruby, Java, Python, C/C++, JavaScript, PHP, Apache, Tomcat, MySQL, syslog-ng, rsyslog, nxlog, Snare, ruterë dhe ndërprerës - nuk ka rëndësi. Mund të grumbulloni deri në 200 MB në ditë falas (që është shumë), dhe plani tjetër me pagesë fillon nga 49 dollarë. Punon shumë mirë.
Një shërbim i shkëlqyer që grumbullon regjistrat e aplikacioneve, çdo regjistër teksti, syslog, etj. Çfarë është interesante: ju mund të punoni me të dhëna të grumbulluara përmes një shfletuesi, linjë komande ose API. Kërkimi kryhet me pyetje të thjeshta si "3 pasdite dje" (merrni të dhëna nga të gjitha sistemet në orën tre të mëngjesit për ditën e djeshme). Të gjitha ngjarjet e lidhura do të grupohen. Për çdo kusht, mund të bëni një alarm për të marrë paralajmërime në kohë (cilësimet në konfigurime kanë ndryshuar). Ju mund të përdorni S3 për të ruajtur regjistrat. Në muajin e parë japin 5 GB si bonus, më pas jepen pa pagesë vetëm 100 MB në muaj.
Një tjetër shërbim i mirë për mbledhjen e të dhënave, i cili ju lejon të grumbulloni deri në një gigabajt shkrime në muaj falas. Por aftësitë janë ende të njëjta: kërkim i fuqishëm, bisht në kohë reale (çdo gjë që "mbërrin" nga regjistrat në këtë moment shfaqet), ruajtja e të dhënave në AWS, monitorimi i PaaS, IaaS dhe korniza dhe gjuhë të njohura. Plani falas ju lejon të ruani shtatë ditë të dhëna.
Relike e Re
Po, ky shërbim nuk është në të vërtetë për mbledhjen e shkrimeve. Por nëse pyetja ka të bëjë me monitorimin e performancës së serverëve dhe aplikacioneve, atëherë kjo është një nga opsionet më të mira. Për më tepër, në shumicën e rasteve ju mund të punoni me të falas, gjë që e kemi përdorur për një kohë të gjatë në redaksinë për të monitoruar aplikacionet dhe statusin e serverit.
Zgjeroni gjithçka në shtëpi
Eksperimentet e mia me shërbimet online përfunduan kur kishte aq shumë të dhëna sa që do të më duhej të paguaja shuma treshifrore për grumbullimin e tyre. Sidoqoftë, doli që ju mund ta vendosni vetë një zgjidhje të tillë. Ka dy opsione kryesore.
logstash
Ky është një sistem i hapur për mbledhjen e ngjarjeve dhe regjistrave, i cili është dëshmuar mirë në komunitet. Vendosja e tij, natyrisht, nuk është e vështirë - por nuk është më një shërbim i gatshëm jashtë kutisë. Prandaj, përgatituni për gabime në dokumentacionin e rrallë, defektet e modulit dhe të ngjashme. Por logstash përballon detyrën e tij: regjistrat mblidhen dhe kërkimet kryhen përmes ndërfaqes në internet.
I rrjedhshëm
Nëse zgjedh një zgjidhje të pavarur, më pëlqeu më shumë Fluentd. Ndryshe nga logstash, i cili është i shkruar në JRuby dhe për këtë arsye kërkon një JVM (që nuk më pëlqen), ai zbatohet në CRuby dhe zonat kritike për performancën shkruhen në C. Sistemi është përsëri i hapur dhe ju lejon të grumbulloni rrjedha të mëdha të regjistrat duke përdorur mbi 1500 shtojca të ndryshme. Është i dokumentuar mirë dhe jashtëzakonisht i qartë. Versioni im aktual i koleksionistit të regjistrave është vendosur në Fluentd.
Ndani këtë artikull me miqtë tuaj.
Përshëndetje, lexues i blogut tim. Ka kohë që kam shkruar një artikull. Shumë ndryshime të jetës... Artikulli i sotëm do t'i kushtohet syslog, ose më mirë rsyslog, i cili po zbatohet në mënyrë aktive në vend të syslogd-së së vjetër (aka sysklogd) në versionet më të fundit të shpërndarjeve (për shembull, etj.). Kam dhënë një përshkrim bazë të performancës në artikullin përkatës. Prandaj, para se të lexoni atë që përshkruhet më poshtë, unë rekomandoj shumë të lexoni. Detyra ime aktuale është mbledhin regjistrat e sistemit të sistemeve nga pajisjet e rrjetit në shumën prej ~ 100 hoste me një rritje të mëvonshme të numrit të tyre. Unë do të përpiqem ta zbatoj këtë funksionalitet në këtë artikull, pasi kam përshkruar më parë dhe. E gjithë kjo gjë do të përshkruhet në bazë të Debian 6, në shpërndarjet e tjera, nëse keni përvojë, me një minimum lëvizjesh me një skedar, mendoj se nuk do të jetë shumë e vështirë për t'u vendosur. Pra, le të fillojmë ...
Hyrje në rsyslog
Siç thashë tashmë, rsyslogështë bërë paketa e paracaktuar në shumicën e shpërndarjeve Linux (ndoshta të gjitha). Rsyslog përkon plotësisht protokolli syslog përshkruar në, dhe gjithashtu përmban disa veçori shtesë. Të tilla si transporti TCP, filtrimi dhe renditja e mesazheve, ruajtja e mesazheve në një DBMS, enkriptimi dhe shumë të tjera. Në artikull do të përpiqem të marr parasysh përshkrimin, përshkrimin kontrolloni demonin rsyslogd Dhe .
Instalimi i rsyslogd
Instalimi i rsyslog (nëse për ndonjë arsye nuk është i instaluar si parazgjedhje) zbret në një komandë:
Aptitude install rsyslog # në kapelën e kuqe, opsioni yum install rsyslog është i mundur
Direktivat e konfigurimit
Direktivat e konfigurimit nganjëherë quhen direktiva globale dhe ato specifikojnë parametrat e përgjithshëm të demonit rsyslogd. Direktiva ka formatin Parametri $directive
############################### DIREKTIVA GLOBAL #### ############ # ############## # Specifikon përdorimin e formatit klasik të vulës kohore (Muaji DD HH:MM:SS). # Për të aktivizuar formatin e stampave kohore unix, duhet të komentoni rreshtin. $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat # # Vendos parazgjedhjen për skedarët e regjistrit. Rrënja e $FileOwner $FileGroup adm $FileCreateMode 0640 $DirCreateMode 0755 $Umask 0022 # # Vendos vendndodhjen e bobinave dhe skedarëve statikë (për ruajtjen e skedarëve të tillë si radha e mesazheve) $WorkDirectory /var/spool/Include all config #. conf nga drejtoria /etc/rsyslog.d/ $IncludeConfig /etc/rsyslog.d/*.confMund të gjendet lista më e plotë e direktivave globale.
Modelet rsyslog
Shumë e rëndësishme dhe kyçe tipar i rsyslogdështë aftësia për të përdorur shabllone. Modeli ju lejon të: 1. caktoni formatin e informacionit të daljes, 2. përdorni emrat dinamikë të skedarëve log bazuar në disa rregulla. Në fakt, Të gjitha Mesazhet dalëse në rsyslogd krijohen bazuar në shabllone. Këtu mund të lindë një pyetje përkatëse - si gjenerohet dalja nëse nuk specifikoni ndonjë shabllon në rsyslog.conf(në fund të fundit, asnjë model nuk është specifikuar si parazgjedhje)? Është e thjeshtë. Ka disa shabllone (të marra nga ato të përputhshme dhe të shkruara në mënyrë statike në burimet rsyslog). Dëshmia për këtë mund të gjendet në skedarin e kodit burimor syslogd.c duke kërkuar për "template_" (do të gjeni /* shabllone standarde të koduara të forta (të përdorura për parazgjedhje) */). Modelet duhet të specifikohen përpara përdorni në rregulla.
Shablloni sintaksor
Në përgjithësi, struktura e shabllonit mund të përfaqësohet në sintaksën e mëposhtme:
$template template_name , përshkrimi i modelit[,opsione (sipas nevojës)]Le të shohim çdo pikë. $shabllon- tregon se do të vijojë një përshkrim i shabllonit. emri i modelit- një vlerë arbitrare që përshkruan qartë se çfarë është shablloni dhe pse (emri do të përdoret për t'iu referuar shabllonit). opsione- mund të marrë një kuptim sql Dhe sqlstd kjo detyron rezultatin përfundimtar të shabllonit të formatohet në një formë të përshtatshme për MySQL ose SQL standarde, përkatësisht (në fakt, ai zëvendëson disa karaktere speciale në mesazhin e syslog në një format të mbështetur nga serveri SQL). Opsionet zbatohen vetëm për shabllonet për dalje në sql.
përshkrimi i modelit është në thonjëza. Në thonjëza, çdo tekst merret fjalë për fjalë (siç është), përveç tekstit të mbyllur në shenja përqindjeje ( %tekst%). Një tekst i tillë është një variabël dhe ju lejon të "qasni" në përmbajtjen e brendshme të mesazhit në hyrje dhe në këtë mënyrë të arrini të gjitha llojet e veçorive të modifikimit argëtues). Gjithashtu, i ashtuquajturi mund të përdoret në thonjëza. sekuencat e arratisjes në formën e një vije të prapme dhe disa karaktere prapa rreshtit (për shembull, \n - rresht i ri, \7 - ...).
Përdorimi i variablave në modelet e rsyslog
Le të rendisim strukturën e vlerave të treguara në %%.
%proper_name [:fillimi i rreshtit :fundi i rreshtit :opsionet [:fieldname]]%emri_proper(aka emri_pronës, është e njëjta emri_ndryshore) - specifikon emrin e pronës (një veti në këtë kontekst mund të konsiderohet si një veçori\fushë e mesazhit të syslog që kalon nëpër daemon), këtu janë disa nga më të përdorurat me vetitë rsyslog:
- msg- trupi i mesazhit
- emri i hostit- emri i hostit\ip nga mesazhi
- ngahost- emri i hostit nga i cili erdhi mesazhi
- fromhost-ip- adresa e hostit nga erdhën mesazhet (127.0.0.1 për mesazhet lokale)
- syslogtag- emri dhe numri i procesit ("rsyslogd:") që ka lëshuar mesazhin (i nxjerrë nga mesazhi)
- emri i programit- emri i procesit që ka lëshuar mesazhin (i nxjerrë nga mesazhi)
- pri- burimi dhe prioriteti, si numër
- pri-teksti- burimi dhe prioriteti i deshifruar ( objekti.përparësi, për shembull syslog.emer)
- objekti syslog- burimi i vetëm si numër
- syslogfacility-tekst- vetëm burimi i deshifruar ("local0")
- ashpërsia e sistemit- vetëm prioritet si numër
- syslogseverity-tekst- vetëm niveli i deshifruar ("debug")
- të gjeneruara me kohë- koha e blerjes (rezolucion i lartë)
- raportuar me kohë- koha e nxjerrë nga mesazhi
- emri i hyrjes- emri i modulit të hyrjes
- $orë, $minutë- koha aktuale
- $myhostname- përpunimi i emrit të hostit
Siç mund ta shihni, disa prona fillojnë me një shenjë dollari - ato konsiderohen si lokale\sistemi.
Me tutje - opsione. Opsionet ju lejojnë të modifikoni një variabël brenda kufijve të shenjës përqindje në shenjë përqindjeje. Mund të aplikoni disa opsione në të njëjtën kohë, të ndara me presje. Nëse specifikoni disa kontradiktore (për shembull, shkronja të mëdha, të vogla), atëherë do të zbatohet e fundit e specifikuar (me shkronja të vogla). Këtu janë disa opsione:
- me shkronja kapitale- konvertimi në shkronja të mëdha
- shkronja të vogla- konvertimi në shkronja të vogla
- data-mysql- konvertohet në formatin e datës MySQL
- hapësirë-cc- zëvendësoni karakteret e kontrollit me hapësira
- rënie-cc- hiqni karakteret e kontrollit
Emri i fushes- kjo fushë është e disponueshme nga versioni 6.3.9+ dhe ka një karakter shumë specifik. Mund ta harrosh...
Siç mund ta shihni nga shablloni i variablit më sipër, vlerat nga kllapat kaçurrelë janë opsionale, domethënë thjesht mund të specifikoni, për shembull, %hostname%. Por nëse përdoren opsionet, atëherë duhet të specifikohen edhe fushat e mëparshme të zbrazëta, për shembull %hostname:::case të vogla%. Mungojnë fushat midis dy pikave fillimi i linjës dhe fundi i linjës. Në të njëjtën kohë, për ndonjë arsye emri i fushës nuk tregohet si bosh.
Modele që janë të koduar në rsyslog (por që mund të ndryshohen me një direktivë $ActionFileDefaultTemplate):
RSYSLOG_SyslogProtocol23Format- formati i përcaktuar në draft standardin IETF ietf-syslog-protocol-23 ndjek modelin:
"<%PRI%>1 %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %msg%\n\"
RSYSLOG_Formati i skedarit- formati tradicional i regjistrit, me shtimin e fraksioneve të sekondës dhe zonës, korrespondon me shabllonin:
"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n\"
RSYSLOG_TraditionalFileFormat- Formati tradicional i regjistrit për të shkruar në një skedar, korrespondon me modelin e mëposhtëm:
"%TIMESTAMP% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n\"
Formati RSYSLOG_Forward- Formati tradicional i regjistrit për transmetim me shtimin e fraksioneve të sekondës dhe zonës, ndjek modelin:
"<%PRI%>%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%\"
RSYSLOG_TraditionalForwardFormat- Formati tradicional i regjistrit për transferim në një server të largët
"<%PRI%>%TIMESTAMP% %HOSTNAME% %syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%\"
Rregullat e renditjes rsyslog (Rregulla)
Çdo rresht i rregullave të renditjes ka një format klasik, ashtu si në një sistem të rregullt. Për të kuptuar se çfarë dhe si, duhet të lexoni artikullin. Shkurtimisht: rregulli përbëhet nga përzgjedhës Dhe veprimet , të ndara me një hapësirë ose skedë. Përzgjedhësi nga ana e tij përbëhet nga burimi Dhe prioritet. Çdo mesazh kontrollohet kundrejt përzgjedhësit nga çdo rregull në mënyrë sekuenciale, nëse mesazhi dhe zgjedhësi i rregullave përputhen, atëherë kryhet veprimi i specifikuar. Në të njëjtën kohë, pas ndeshjes së parë, përpunimi nuk ndalet. Përpara veprim, mesazhi konvertohet në përputhje me shabllonin (shaboni i paracaktuar i specifikuar në direktivën përkatëse (duke zëvendësuar shabllonin e paracaktuar), shablloni i specifikuar në këtë veprim është një nga tre).
Me karakteristika standarde përzgjedhësit e syzlogut janë shtuar disa veçori shtesë (më lejoni t'ju kujtoj se klasikisht është një përzgjedhës burimi.përparësi, aka objekti.përparësi). Në rsyslog mund të përdorni vlerat si përzgjedhës. Në rsyslog, përdorimi i variablave në një përzgjedhës quhet Filtrat. Më lart në artikull, si dhe në qasjen klasike të filtrimit bazuar në burimi.përparësi(të ashtuquajturat Përzgjedhës "tradicional" të ashpërsisë dhe objekteve). Përveç filtrimit tradicional, ka edhe sa vijon llojet e filtrimit: Filtra të bazuar në RainerScript(filtrimi i bazuar në gjuhën RainerScript - në fakt e zakonshme nëse - atëherë - tjetër), filtra të bazuar në pronë(filtrimi bazuar në vetitë e mesazhit (si në)). Le t'i shohim të dyja:
Filtra të bazuar në RainerScript
Siç thashë, RainerScript është një gjuhë klasike nëse atëherë bazohet në një gjuhë tjetër. Në rsyslog, RainerScript mbështet vendosjen e kushteve, aritmetike, logjike dhe operacione të vargut. Në përgjithësi, sintaksa është si më poshtë:
nëse kushti atëherë action_block tjetër veprim_bllokuPërkatësisht, nese atehere- këta janë operatorë të detyrueshëm që përcaktojnë ndërtimin e kushtit, tjetër- nga nevoja. veprim_blloku - mund të përmbajë një veprim (), ose një bllok të mbivendosur kushtesh. Nëse një bllok kusht përmban disa veprime, ai mbyllet në kllapa. gjendje- përmban një kusht për zgjedhjen e mesazheve për veprimin_blloku. Në gjendje mund të përdorni:
- shprehjet logjike(dhe, ose, jo), si dhe grupimi i këtyre shprehjeve në formën: jo kushti0 dhe (kushti 1 dhe kushti 2).
- Vetitë- variablat janë specifikuar në formën $variable_name (për shembull $hostname ose $msg)
- operacionet e krahasimit(== - e barabartë, != - jo e barabartë, > - më e madhe,< - меньше, <= - меньше или равно, >= - më i madh ose i barabartë me, (!)përmban - (nuk) përmban, (!)fillon me - (nuk) fillon me)
- komente /* komente */(pikë e dyshimtë...duhet të ikë si në bash???)
Cisco
as53xx231#conf t Futni komandat e konfigurimit, një për rresht. Përfundoni me CNTL/Z. as53xx231(config)#logging 10.0.0.1 as53xx231(config)#exitVMware ESXi
Për një hipervizor të vjetër:
Ju duhet të shtoni sa vijon në /etc/syslog.conf:
*.* @10.0.0.1 # në murin e zjarrit ju duhet të lejoni syslog dhe ta ruani atë: esxcfg-firewall -o 514,udp,out,syslog esxcfg-firewall -l # rinis shërbimin e syslog-it, rinisja e sistemit
Në versionet më të fundit të hipervizorit, gjithçka bëhet përmes klientit GUI. Në cilësimet e hipervizorit Advansed -> Syslog -> në distancë, specifikoni adresën e serverit rsyslog.
Ruajtja e regjistrit rsyslog në MySQL DBMS
Në Debian, vendosja e ruajtjes në një bazë të dhënash është shumë e thjeshtë (pothuajse si në një makinë shitëse)). Në përgjithësi, mjafton të instaloni paketën rsyslog-mysql. Në këtë rast, instaluesi vendos modulin ommysql.so në drejtorinë /usr/lib/rsysloul/spang/ dhe hap magjistarin e konfigurimit, i cili kërkon fjalëkalimin e administratorit MySQL, krijon një përdorues të veçantë dhe kërkon një fjalëkalim për të. Krijon bazën e të dhënave përkatëse nga skripti /usr/share/dbconfig-common/data/rsyslog-mysql/install/mysql. Cilësimet që rezultojnë vendosen në /etc/rsyslog.d/mysql.conf. Konfigurimi përbëhet nga 2 rreshta:
# lidhje me modulin: $ModLoad ommysql # dërgoni të gjitha mesazhet në MySQL (kujtoni Veprimet e mësipërme) *.* :ommysql:adresa_server, emri_bazës, emri_përdorues, fjalëkalimi
Ndërfaqe në internet për rsyslog
Ne do të konfigurojmë Loganalizer nga adiscon si një ndërfaqe në internet. Instalimi i ndërfaqes në internet është mjaft i thjeshtë. Ai konsiston në shkarkimin e arkivit, zbërthimin e tij në drejtorinë e serverit në internet dhe nisjen e magjistarit të konfigurimit grafik. Pra, nga këtu (http://loganalyzer.adiscon.com/downloads) shkarkoni arkivin me skedarët (Për shembull: http://download.adiscon.com/loganalyzer/loganalyzer-3.5.6.tar.gz). Përpara konfigurimit, sigurisht, duhet të instalohen serveri në internet dhe moduli php5 (aptitude install apache2 libapache2-mod-php5). Dhe po, gjithashtu php5-gd për shfaqjen e raporteve.
~ # # Shkarkoni arkivin: ~ # wget http://download.adiscon.com/loganalyzer/loganalyzer-3.5.6.tar.gz ~ # # Shpaketoni arkivin: ~ # tar xf loganalyzer-3.5.6.tar. gz
Drejtoria loganalyzer-3.5.6 do të shfaqet në drejtorinë aktuale, e cila përmban disa informacione që ia vlen të lexohen:
~ # ls -l gjithsej 12 drwxr-xr-x 3 rrënjë rrënjë 4096 shtator 20 22:51 . drwx------ 13 rrënjë rrënjë 4096 shtator 20 23:01 .. drwxrwxr-x 5 rrënjë rrënjë 4096 shtator 10 17:26 loganalyzer-3.5.6 ~ # ls -l loganalyzer-3.5.6/gjithsej 11 -rw-r-- 1 rrënjë rrënjë 41186 shtator 10 17:26 ChangeLog drwxrwxr-x 2 rrënjë rrënjë 4096 shtator 20 23:01 kontribut -rw-rw-r-- 1 rrënjë 35497 shtator 10 17:26 drINGrwx COP 2 rrënjë rrënjë 4096 shtator 10 17:34 doc -rw-rw-r-- 1 rrënjë rrënjë 8449 shtator 10 17:26 INSTALL drwxrwxr-x 14 rrënjë rrënjë 4096 shtator 10 17:34 src ~ # # ne kemi nevojë nga drejtoria për të kopjuar përmbajtjen në /var/www/loganalyzer: ~ # mkdir /var/www/loganalyzer ~ # cp -r loganalyzer-3.5.6/src/* /var/www/loganalyzer ~ # # më pas, duhet të krijoni një skedari i konfigurimit bosh, ~ # # i cili do të plotësohet automatikisht nga instaluesi ~ # prek /var/www/loganalyzer/config.php ~ # # vendos lejet e shkrimit (pas instalimit, këto të drejta mund të hiqen) ~ # chmod 666 / var/www/loganalyzer/config.php
Kliko këtu
Ne shohim pse i dhamë lejet 666, klikoni Next
Këtu zgjedhim cilësimet e dëshiruara. Parametri Aktivizo bazën e të dhënave të përdoruesit kërkon vëmendje të veçantë. Nëse e zgjidhni atë, do të krijohet një bazë të dhënash e veçantë për të ruajtur cilësimet e ndërfaqes në ueb. Gjithashtu, aftësia për të krijuar përdorues dhe grupe do të jetë e disponueshme. Kliko tjetër.
Ekziston një shtesë e vogël - serveri i uebit nuk ka qasje në skedarët e rregullt në drejtorinë /var/log/. Prandaj, regjistri mund të mos shfaqet. Për të zgjidhur këtë problem, duhet të shtoni përdoruesin www-data në grupin e adm:
~ # usermod -G adm www-data
Përveç Loganalyzer, ekziston edhe Logzilla, e cila ka të njëjtin funksionalitet. Gjithashtu ia vlen të provoni ta instaloni nëse dëshironi.
Disa këshilla dhe truke për rsyslog
Ndonjëherë, kur rsyslog është një shërbim rrjeti për mbledhjen e regjistrave në distancë, ruajtja e mesazheve sipas emrit të hostit është e papërshtatshme ose joproduktive ose diçka tjetër. Për të çaktivizuar zgjidhjen e adresave IP në emrat e hosteve, duhet të shtoni parametrin -x:
~ # cat /etc/default/rsyslog RSYSLOGD_OPTIONS="-c5 -x"
Për të lejuar kalimin e paketave UDP, duhet të përdorni komandën:
~ # iptables -A INPUT -p udp -s source_subnet --dport 514 -i interface -j ACCEPT
Disa shembuj rregullash me komente:
# nëse krijoni një përzgjedhës si ky: nëse $fromhost-ip fillon me "10.0.1." atëherë /something/ # duhet t'i kushtoni vëmendje pikës së fundit në adresë, # përndryshe adresat nga nënrrjeti 10.0.111.0, 10.0.12.0 dhe të tjerat do të bien nën rregullin
Për një server të centralizuar për mbledhjen e regjistrave nga pajisjet e rrjetit, mund të vendosni burimin (objektin) në pajisjet e rrjetit në çdo vlerë nga local0-local7. Kjo do t'ju lejojë të renditni me lehtësi mesazhet, për shembull:
# cisco: net-device-cisco#conf t Futni komandat e konfigurimit, një për rresht. Përfundoni me CNTL/Z.<...>net-device-cisco(config)#logging facility local2<...># rsyslog-server local2.* /var/log/remote-cisco.log & ~
Në këtë mënyrë, ju mund të filtroni me lehtësi mesazhet lokale nga ato të largëta.
Këtu janë disa konfigurime që ju lejojnë të dërgoni njoftime me postë për ngjarjet (!!! serveri i postës duhet të pranojë mesazhe pa vërtetim):
$ModLoad ommail $ActionMailSMTPS Server smtp_adresa $ActionMailSMTPPport 25 $ActionMailNga dërguesi@adresa $ActionMailTe recipient@adresa $template mail_subject,"Në host %hostname%, Niveli i gabimit sipas serverit" $logerFlatecility%S_s. syslogpriority% në %timegenerated% në host: %HOSTNAME%\r\n %msg%" $ActionMailSubject mail_subject # interval kohor (pauzë midis shkronjave) $ActionExecOnlyOnceEveryInterval 10 # filtër përzgjedhjeje dhe veprim nëse jo ($msg përmban "diçka"\ ose $msg përmban "diçka tjetër"\ ose $msg përmban "maybe_something other")\ dhe ($syslogseverity-text =="gabim"\ ose $syslogseverity-text =="crit"\ ose $syslogseverity-text =="alarm "\ or $syslogseverity-text =="emerg")\ then:ommail:;mail_body
Zgjidhja e problemeve
Për diagnostikimin e funksionimit të syslog, një komandë shembull për monitorim është shumë e dobishme:
~ # tcpdump -vvv -nn -i ndërfaqe udp port 514
Dhe, sigurisht, vetë /var/log/syslog.
Nuk pashë asgjë të pazakontë.
15 shkurt 17:47:23 log-n1 yum: Instaluar: syslog-ng-3.5.6-3.el7.x86_64
15 shkurt 17:47:36 log-n1 systemd: Rifreskohet.
Shkurt 15 17:47:40 log-n1 syslog-ng: syslog-ng nisja; version='3.5.6'
15 shkurt 17:47:40 log-n1 systemd: Dëgjimi në Syslog Socket.
15 shkurt 17:47:40 log-n1 systemd: Nisja e Syslog Socket.
15 shkurt 17:47:40 log-n1 systemd: Fillon System Logger Daemon…
15 shkurt 17:47:40 log-n1 systemd: Filloi System Logger Daemon.
Shkurt 15 17:52:41 log-n1 syslog-ng: syslog-ng mbyllja; version='3.5.6'
Shkurt 15 17:52:41 log-n1 systemd: Ndalimi i sistemit Logger Daemon…
15 shkurt 17:52:41 log-n1 systemd: koha e ndalimit të syslog-ng.service ka mbaruar, rinisja e planifikimit.
15 shkurt 17:52:41 log-n1 systemd: Fillon System Logger Daemon…
15 shkurt 17:52:41 log-n1 systemd: syslog-ng.service: procesi kryesor doli, kodi=dalur, status=2/INVALIDARGUMENT
Shkurt 15 17:52:41 log-n1 systemd: Dështoi të niste System Logger Daemon.
15 shkurt 17:52:41 log-n1 systemd: Njësia syslog-ng.service hyri në gjendje të dështuar.
15 shkurt 17:52:41 log-n1 systemd: syslog-ng.service dështoi.
15 shkurt 17:52:42 log-n1 systemd: koha e ndalimit të syslog-ng.service ka mbaruar, rinisja e planifikimit.
15 shkurt 17:52:42 log-n1 systemd: Fillon System Logger Daemon…
15 shkurt 17:52:42 log-n1 systemd: syslog-ng.service: procesi kryesor doli, kodi=dalur, status=2/INVALIDARGUMENT
Shkurt 15 17:52:42 log-n1 systemd: Dështoi të niste System Logger Daemon.
15 shkurt 17:52:42 log-n1 systemd: Njësia syslog-ng.service hyri në gjendje të dështuar.
15 shkurt 17:52:42 log-n1 systemd: syslog-ng.service dështoi.
15 shkurt 17:52:42 log-n1 systemd: koha e ndalimit të syslog-ng.service ka mbaruar, rinisja e planifikimit.
15 shkurt 17:52:42 log-n1 systemd: Fillon System Logger Daemon…
15 shkurt 17:52:42 log-n1 systemd: syslog-ng.service: procesi kryesor doli, kodi=dalur, status=2/INVALIDARGUMENT
Shkurt 15 17:52:42 log-n1 systemd: Dështoi të niste System Logger Daemon.
15 shkurt 17:52:42 log-n1 systemd: Njësia syslog-ng.service hyri në gjendje të dështuar.
15 shkurt 17:52:42 log-n1 systemd: syslog-ng.service dështoi.
15 shkurt 17:52:42 log-n1 systemd: koha e ndalimit të syslog-ng.service ka mbaruar, rinisja e planifikimit.
Shkurt 15 17:52:42 log-n1 systemd: Dështoi të niste System Logger Daemon.
15 shkurt 17:52:42 log-n1 systemd: Njësia syslog-ng.service hyri në gjendje të dështuar.
15 shkurt 17:52:42 log-n1 systemd: syslog-ng.service dështoi.
15 shkurt 17:52:42 log-n1 systemd: kërkesa e nisjes u përsërit shumë shpejt për syslog-ng.service
Shkurt 15 17:52:42 log-n1 systemd: Dështoi të niste System Logger Daemon.
Shkurt 15 17:52:42 log-n1 systemd: Njësia syslog.socket hyri në gjendje të dështuar.
15 shkurt 17:52:42 log-n1 systemd: syslog-ng.service dështoi.
15 shkurt 17:53:11 log-n1 systemd: Dëgjimi në Syslog Socket.
