Nel sistema operativo Linux molte applicazioni, inviare i log di syslog, il principale meccanismo di registrazione. Migliori pratiche di sicurezza spesso esigono che è l’ideale per inviare i log ad un sistema separato, come Loggly, una soluzione SaaS per i dati di log management.
Ci sono molte ragioni per fare questo, ma i principali sono quelli di:
- Backup del registro dati
- Possibilità di verificare che il registro di integrità e di rilevare i cambiamenti di dati
- Consolidamento dei registri attraverso i sistemi
Loggly ha molte caratteristiche, come mostrato di seguito, ma con una caratteristica, in particolare, è Loggly l’agente di distribuzione gratuita di abilità.
- Il monitoraggio di molteplici sistemi cloud, registri interni, e registri di applicazione
- Integrazione con sistemi di terze parti, come Slack, GitHub, o PagerDuty
- L’analisi e la visualizzazione di dati con i grafici e gli indicatori Kpi
- Agente-distribuzione gratuita
In questo articolo, ci accingiamo a spiegare come integrare Loggly con rsyslog, un comune e potente di ricambio per syslogd. Questo significa che non c’è nessun agente necessari su un sistema Linux, e rsyslog può essere configurato per inviare direttamente i registri di Loggly.
L’installazione di rsyslog
Molti sistemi sono dotati di rsyslog preinstallato, ma se non è, a pochi passi necessari per l’installazione. Anche se rsyslog è comunemente incluso nei repository di molte distribuzioni, potrebbe non essere l’ultima versione. In questo articolo, Ubuntu è la distribuzione di scelta, in particolare quello del 18.04. Istruzioni per le altre distribuzioni si trovano qui.
Questa sezione può dire di installazione da sorgenti, ma il repository elencati vi permetterà di installare le ultime versioni del pacchetto.
L’aggiunta di rsyslog Repository
Nel caso di Ubuntu, dobbiamo aggiungere la Adiscon repository PPA.
apt-get update && apt-get install -y software-properties-comune
add-apt-repository -y ppa:adiscon/v8-stabile
L’installazione di rsyslog
Ci sono due principali pacchetti installare per rsyslog. Al di là del pacchetto di base di per sé, rsyslog-gnutls pacchetto che ci permette di utilizzare una connessione crittografata per la Loggly servizio.
apt-get update
apt-get install rsyslog
apt-get install rsyslog-gnutls
Aggiungere il Loggly Certificati TLS
Prima di configurare rsyslog con TLS, abbiamo prima bisogno di scaricare e rendere accessibili le Loggly certificati.
sudo mkdir /etc/rsyslog.d/chiavi/ca.d
wget-O /etc/rsyslog.d/chiavi/ca.d/log-01.loggly.com_sha12.crt <https://logdog.loggly.com/media/logs-01.loggly.com_sha12.crt>
Verifica che la Directory di Lavoro, Autorizzazioni
Ci sono alcuni casi in cui il /var/spool/rsyslog autorizzazioni non sono corretti, e il codice riportato di seguito consente di verificare che le autorizzazioni siano impostate correttamente (nel contesto di Ubuntu 18.04).
sudo chown -R syslog:adm /var/spool/rsyslog
sudo chmod -R 644 /var/spool/rsyslog
Configurazione Loggly
Nel corso del tempo, le direttive di configurazione e la sintassi sono cambiate per rsyslog. Spesso, c’è un mix di vecchio e nuovo direttive disponibili. Qui di seguito è una configurazione di default per rsyslog utilizzando la nuova sintassi solo. Il motivo principale per modificare questa configurazione è il punto di rsyslog per il certificato che abbiamo appena scaricato.
#################
#### MODULI ####
#################
modulo( carico=”imuxsock” )
modulo( carico=”imklog” )
modulo( carico=”builtin:omfile”
fileOwner=”syslog”
fileGroup=”adm”
fileCreateMode=”0644″
dirOwner=”syslog”
dirGroup=”adm”
dirCreateMode=”0755″
)
modulo( carico=”impstats”
intervallo=”600″
gravità=”7″
log.syslog=”off”
log.file=”/var/log/rsyslog_stats.registro”
)
###########################
#### DIRETTIVE GLOBALI ####
###########################
globale (
maxMessageSize=”64 kb”
defaultNetstreamDriverCAFile=”/etc/rsyslog.d/chiavi/ca.d/log-01.loggly.com_sha12.crt”
defaultNetstreamDriver=”gtls”
workDirectory=”/var/spool/rsyslog”
)
#
# Include tutti i file di configurazione in /etc/rsyslog.d/
#
includere(file=”/etc/rsyslog.d/*.conf”)
La parte importante del codice è il defaultNetstreamDriverCAFile e defaultNetstreamDriver. Queste direttive devono essere configurati correttamente per scegliere il certificato scaricato.
Dopo l’accesso al tuo Loggly account, sarà necessario creare un cliente di token. Questo si trova sotto la Sorgente di Installazione > Cliente Gettoni. Come c’è una nuova interfaccia utente venuta, inclusi qui di seguito sono immagini per il nuovo ed il vecchio interfacce.
Nuova Interfaccia Utente.Vecchia Interfaccia Utente.Una volta che hai navigato per Cliente Gettoni, fare clic su “Aggiungi” pulsante per generare un nuovo token. È meglio dare questo token di una descrizione.
Infine, si avrà un token che è possibile utilizzare. Copia di questa per un uso successivo nel nostro file di configurazione.
La configurazione di rsyslog per Loggly
Il passo finale per la configurazione di rsyslog per Loggly è quello di definire il nostro file di configurazione e riavviare rsyslog. Qui di seguito è un file di configurazione di default che si trova in /etc/rsyslog.d/22-remoto.conf che dirà rsyslog per inviare gli eventi syslog per Loggly.
Il numero 22 non è importante, questo è solo un modo per definire l’ordine di caricamento del file di configurazione. Scegliere un numero che ha un senso nella tua configurazione.
modello
name=”LogglyFormat”
type=”string”
stringa=”<%pri%>%protocollo-versione% %timestamp:::data-rfc3339% %HOSTNAME% %app-nome% %procid% %#, fuzzy msgid% [ca35d899-0232-4888-a8d5-118fbf5caf8d tag=\”RsyslogTLS\”] %msg%\n”
)
# Invia tutti i Messaggi di Syslog Remoto
azione(
type=”omfwd”
protocollo=”tcp”
target=”logs-01.loggly.com”
port=”6514″
template=”LogglyFormat”
StreamDriver=”gtls”
StreamDriverMode=”1″
StreamDriverAuthMode=”x509/nome”
StreamDriverPermittedPeers=”*.loggly.com”
ResendLastMSGOnReconnect=”on”
coda.su spooldirectory=”/var/spool/rsyslog”
coda.filename=”queue_sendToLoggly”
coda.size=”5000″
coda.dequeuebatchsize=”300″
coda.highwatermark=”4500″
coda.lowwatermark=”3500″
coda.maxdiskspace=”1g”
coda.saveonshutdown=”on”
coda.type=”LinkedList”
)
All’interno di questa configurazione, si definisce il formato per l’invio dei log, che aiuta Loggly a classificare correttamente i registri. L’azione configurazione per l’invio di tutti i messaggi di Syslog per Loggly per impostazione predefinita. Infine per questa configurazione per l’effetto, occorre riavviare rsyslog.
sudo service rsyslog riavviare
rsyslog di Risoluzione dei problemi
Se si verificano problemi con la configurazione, che tendono ad essere di autorizzazioni o di un errore di configurazione, quindi è possibile visualizzare l’attuale log: /var/log/rsyslog.log. Inoltre, per attivare un più alto livello di registrazione, aggiungere le seguenti righe al vostro rsyslog.file conf e riavviare rsyslog.
$DebugFile /var/log/rsyslog_debug.registro
$DebugLevel 2
Conclusione
La combinazione di rsyslog e Loggly è potente. Che consente di consolidare, di convalida e di analizzare il log è importante per il mantenimento di un adeguato livello di sicurezza. Troverete rapidamente che le funzionalità avanzate di Loggly sono ben vale il setup quando utilizzata in combinazione con la registrazione avanzata di configurazione per rsyslog.