In het besturingssysteem Linux, zijn veel applicaties verzenden logt naar syslog, de primaire logging mechanisme. De beste security practices vaak dicteren dat het is ideaal voor het verzenden van uw logboeken naar een apart systeem, zoals Loggly, een SaaS-oplossing voor het loggen van data management.
Er zijn vele redenen om dit te doen, maar de voornaamste zijn:
- Back-up van belangrijke gegevens van het logboek
- Mogelijkheid om te controleren of log integriteit en het detecteren van wijzigingen in gegevens
- Consolidatie van de logboeken van de verschillende systemen
Loggly heeft vele functies, zoals hieronder getoond, maar één functie, in het bijzonder, is Loggly agent-vrije implementatie van het vermogen.
- De bewaking van meerdere cloud-systemen, interne logs, en toepassing log
- Integratie met systemen van derden, zoals Speling, GitHub, of PagerDuty
- Analyseren en visualiseren van gegevens met behulp van grafieken en Kpi ‘ s
- Agent-gratis implementatie
In dit artikel gaan we uitleggen hoe integreer Loggly met rsyslog, een gemeenschappelijk en krachtig vervanging voor syslogd. Dit betekent dat er geen agent nodig is op een Linux systeem, en rsyslog kan worden geconfigureerd om direct te sturen van de logs naar Loggly.
Het installeren van rsyslog
Veel systemen worden geleverd met een rsyslog vooraf, maar als het niet, een paar stappen zijn er nodig voor de installatie. Hoewel rsyslog wordt vaak opgenomen in de repositories van de vele distributies, het is misschien niet de nieuwste versie. In dit artikel, Ubuntu is de verdeling van de keuze, met name die van 18.04. Instructies voor andere distributies zijn hier gevestigd.
In deze rubriek kan zeggen installeren van de bron, maar de archieven vermeld zal u toelaten om te installeer de nieuwste versies van het pakket.
Het toevoegen van de rsyslog Archief
In het geval van Ubuntu, moeten we de Adiscon PPA repository.
apt-get update && apt-get install -y-software-properties-gemeenschappelijke
add-apt-repository -y ppa:adiscon/v8-stabiel
Het installeren van rsyslog
Er zijn twee belangrijke pakketten moeten we te installeren voor rsyslog. Buiten het basis pakket zelf, de rsyslog-gnutls-pakket stelt ons in staat om een versleutelde verbinding naar de Loggly service.
apt-get update
apt-get install rsyslog
apt-get install rsyslog-gnutls
Het toevoegen van de Loggly TLS Certificaten
Voordat we het configureren van rsyslog met TLS, moeten we eerst downloaden en toegankelijk maken van de Loggly certificaten.
sudo mkdir /etc/rsyslog.d/toetsen/ca.d
wget -O /etc/rsyslog.d/toetsen/ca.d/logs-01.loggly.com_sha12.crt <https://logdog.loggly.com/media/logs-01.loggly.com_sha12.crt>
Verifiëren van de Werken Map Machtigingen
Er zijn een aantal gevallen waar de /var/spool/rsyslog machtigingen onjuist zijn, en de volgende code zal controleren of dat de machtigingen correct zijn ingesteld (in het kader van Ubuntu 18.04).
sudo chown -R syslog:adm /var/spool/rsyslog
sudo chmod -R 644 /var/spool/rsyslog
Het Configureren Van Loggly
Na verloop van tijd, de configuratie van de richtlijnen en de syntaxis die zijn gewijzigd voor een rsyslog. Vaak is er een mix van de oude en de nieuwe richtlijnen beschikbaar. Hieronder is een standaard configuratie voor rsyslog u de nieuwe syntaxis alleen. De primaire reden voor het wijzigen van deze configuratie is punt rsyslog om het certificaat dat we net gedownload.
#################
#### MODULES ####
#################
module( load=”imuxsock” )
module( load=”imklog” )
module( load=”builtin:omfile”
fileOwner=”syslog”
bestandsgroep=”adm”
fileCreateMode=”0644″
dirOwner=”syslog”
dirGroup=”adm”
dirCreateMode=”0755″
)
module( load=”impstats”
interval=”600″
ernst=”7″
log.syslog=”off”
log.bestand=”/var/log/rsyslog_stats.log”
)
###########################
#### GLOBALE RICHTLIJNEN ####
###########################
global (
maxMessageSize=”64″
defaultNetstreamDriverCAFile=”/etc/rsyslog.d/toetsen/ca.d/logs-01.loggly.com_sha12.crt”
defaultNetstreamDriver=”gtls”
workDirectory=”/var/spool/rsyslog”
)
#
# Inclusief alle configuratie bestanden in de /etc/rsyslog.d/
#
zijn(file=”/etc/rsyslog.d/*.conf”)
Het belangrijkste onderdeel van de code is de defaultNetstreamDriverCAFile en defaultNetstreamDriver. Deze richtlijnen moeten correct worden geconfigureerd om te verwijzen naar het gedownloade certificaat.
Na ondertekening in bij uw Loggly account, moet u een klant tokens. Deze is gelegen onder source Setup (Bron instellingen > Klant Tokens. Want er is een nieuwe gebruikersinterface komen, hieronder staan screenshots voor zowel de oude en nieuwe interfaces.
Nieuwe Gebruikersinterface.Oude User Interface.Zodra u een navigatie heeft gestart naar de Klant Tokens, klikt u op de “Nieuwe Toevoegen” knop om een nieuwe token. Is het het beste om dit token een beschrijving.
Tot slot, heb je een token die u kunt gebruiken. Kopieer deze voor later gebruik in onze configuratie bestanden.
Configuratie van rsyslog voor Loggly
De laatste stap voor de configuratie van rsyslog voor Loggly het definiëren van onze configuratie bestand en start rsyslog. Hieronder is een standaard configuratie bestand: /etc/rsyslog.d/22-afstandsbediening.conf die zal vertellen rsyslog te sturen syslog events te Loggly.
Het getal 22 is niet belangrijk, dit is slechts een manier om de volgorde te bepalen van het laden van de configuratie-bestanden. Kies een nummer dat zinvol is in uw configuratie.
sjabloon(
name=”LogglyFormat”
type=”string”
string=”<%pri%>% – protocol-versie% %timestamp:::datum-rfc3339% %HOSTNAAM% %app-naam% %procid% %msgid% [ca35d899-0232-4888-a8d5-118fbf5caf8d tag=\”RsyslogTLS\”] %msg%n”
)
# Verzenden alle Syslog-Berichten naar Externe
actie(
type=”omfwd”
protocol=”tcp”
target=”logs-01.loggly.com”
port=”6514″
sjabloon=”LogglyFormat”
StreamDriver=”gtls”
StreamDriverMode=”1″
StreamDriverAuthMode=”x509/naam”
StreamDriverPermittedPeers=”*.loggly.com”
ResendLastMSGOnReconnect=”on”
wachtrij.spoolDirectory=”/var/spool/rsyslog”
wachtrij.filename=”queue_sendToLoggly”
wachtrij.size=”5000″
wachtrij.dequeuebatchsize=”300″
wachtrij.highwatermark=”4500″
wachtrij.lowwatermark=”3500″
wachtrij.maxdiskspace=”1g”
wachtrij.saveonshutdown=”on”
wachtrij.type=”LinkedList”
)
Binnen deze configuratie definiëren we de indeling voor het sturen van de logs over, dat helpt Loggly goed categoriseren van de logs. De actie configuratie is voor het verzenden van alle Syslog-berichten te Loggly standaard. Tot slot voor deze configuratie effect te laten hebben, moeten we opnieuw op te starten rsyslog.
sudo service rsyslog restart
rsyslog het Oplossen van problemen
Als u geconfronteerd worden met problemen met de configuratie, die de neiging hebben om ofwel machtigingen of een mis-configuratie, dan kunt u de huidige meld u hier aan: /var/log/rsyslog.log. Bovendien, om te draaien op een hoger niveau van de logboekregistratie, voeg de volgende regels toe aan uw rsyslog.conf bestand en herstart rsyslog.
$DebugFile /var/log/rsyslog_debug.log
$DebugLevel 2
Conclusie
De combinatie van rsyslog en Loggly, is krachtig. Zodat u te consolideren, te valideren en analyseren van uw hout is belangrijk voor het behoud van een goede beveiliging houding. Je zal al snel merken dat de geavanceerde functies van Loggly zijn de moeite waard de installatie, wanneer gebruikt in combinatie met de geavanceerde logging configuratie voor rsyslog.