I Linux-system, men många program kan du skicka loggar till syslog, den primära logga mekanism. Bästa säkerhetsrutiner diktera ofta att det är perfekt att skicka loggarna till ett separat system, som Loggly, en SaaS-lösning för att logga in data management.
Det finns många skäl att göra detta, men det primära är:
- Backup av viktig data logga in
- Förmågan att kontrollera logga integritet och upptäcka förändringar data
- Konsolidering av loggar över system
Loggly har många funktioner, som visas nedan, utan en funktion, i synnerhet, är Loggly agent-gratis distribution förmåga.
- Övervakning av flera moln system, interna loggar, och programloggar
- Integrering med tredje parts system, såsom Slack, GitHub, eller PagerDuty
- Analys och visualisering av data med hjälp av grafer och Nyckeltal
- Agent-gratis distribution
I denna artikel kommer vi att förklara hur man kan integrera Loggly med python, en gemensam och kraftfull ersättare till syslogd. Detta innebär att det inte finns någon agent som behövs på ett Linux-system och python kan konfigureras för att direkt skicka loggar till Loggly.
Installera rsyslog
Många system har python installerat, men om det inte är det några steg som behövs för installationen. Även om rsyslog är vanligen ingår i förråden av många distributioner, det kanske inte är den senaste versionen. I denna artikel, Ubuntu distribution av val, särskilt 18.04. Instruktionerna för de andra distributioner är här.
Detta avsnitt kan säga att installera från källkod, men de förråd som anges kommer att tillåta dig att installera de senaste versionerna av paket.
Lägga till rsyslog Arkiv
I fall av Ubuntu, vi måste lägga till Adiscon PPA-förråd.
apt-get update && apt-get install -y-programvara-fastigheter-gemensamma
add-apt-repository -y ppa:adiscon/v8-stabil
Installera rsyslog
Det finns två huvudsakliga paket som vi behöver för att installera rsyslog. Utöver bas-paketet själv, libsane-extras paket tillåter oss att använda en krypterad anslutning till Loggly service.
apt-get update
apt-get install python
apt-get install python-gnutls
Lägga till Loggly TLS-Certifikat
Innan vi konfigurera rsyslog med TLS, vi måste först ladda ner och göra tillgängligt det Loggly certifikat.
sudo mkdir /etc/rsyslog.d/nycklar/ca.d
wget -O /etc/rsyslog.d/nycklar/ca.d/logs-01.loggly.com_sha12.crt <https://logdog.loggly.com/media/logs-01.loggly.com_sha12.crt>
Kontrollera Arbetet Katalog
Det finns vissa fall när /var/spool/rsyslog behörigheter är felaktiga, och följande kod kommer att kontrollera att behörigheterna är korrekt inställd (i samband med Ubuntu 18.04).
sudo chown -R syslog:adm /var/spool/rsyslog
sudo chmod -R 644 /var/spool/rsyslog
Konfigurera Loggly
Över tiden, konfiguration direktiv och syntax har förändrats för rsyslog. Det finns ofta en blandning av gamla och nya direktiv som finns. Nedan är en standardkonfiguration för rsyslog med den nya syntaxen bara. Den främsta anledning att ändra denna konfiguration är att peka rsyslog det intyg som att vi precis hämtat.
#################
#### MODULER ####
#################
modulen( load=”imuxsock” )
modulen( load=”imklog” )
modulen( load=”built-in:omfile”
fileOwner=”syslog”
filgrupp=”adm”
fileCreateMode=”0644″
dirOwner=”syslog”
dirGroup=”adm”
dirCreateMode=”0755″
)
modulen( load=”impstats”
intervall=”600″
svårighetsgraden=”7″
logga in.syslog=”off”
logga in.file=”/var/log/rsyslog_stats.logga in”
)
###########################
#### GLOBALA DIREKTIVEN ####
###########################
global (
maxMessageSize=”64k”
defaultNetstreamDriverCAFile=”i/etc/rsyslog.d/nycklar/ca.d/logs-01.loggly.com_sha12.crt”
defaultNetstreamDriver=”gtls”
workDirectory=”/var/spool/rsyslog”
)
#
# Inkluderar alla konfigurationsfiler i /etc/rsyslog.d/
#
inkluderar(file=”i/etc/rsyslog.d/*.conf”)
Den viktiga delen av koden är defaultNetstreamDriverCAFile och defaultNetstreamDriver. Dessa direktiv måste vara rätt konfigurerade för att peka på den nedladdade certifikat.
Efter att logga in på ditt Loggly konto, du kommer att behöver för att skapa en kund-token. Detta ligger under Source Setup – > Kund Polletter. Eftersom det är ett nytt användargränssnitt kommer, ingår nedan kan du se skärmdumpar för både gamla och nya gränssnitt.
Nytt Användargränssnitt.Gamla Användargränssnittet.När du har navigerat till Kund Polletter, klicka på “Lägg till Ny” knappen för att generera en ny token. Det är bäst att ge denna token är en beskrivning.
Slutligen, du kommer att ha en token som du kan använda. Kopiera detta för att använda senare i vår konfigurationsfiler.
Konfigurera rsyslog för Loggly
Det sista steget för att konfigurera rsyslog för Loggly är att definiera vår konfiguration filen och starta om rsyslog. Nedan är en standardkonfiguration filen finns i /etc/rsyslog.d/22-fjärrkontrollen.conf som kommer att berätta rsyslog syslog för att skicka händelser till Loggly.
Nummer 22 är inte viktigt, det här är bara ett sätt att definiera den ordning som laddar inställningsfiler. Välj ett nummer som gör att känslan i din konfiguration.
mall(
namn=”LogglyFormat”
type=”string”
string=”<%pri%>%protocol-versionen% %tidsstämpel:::datum-rfc3339% %HOSTNAME% % – app-name% %procid% %msgid% [ca35d899-0232-4888-a8d5-118fbf5caf8d tag=\”RsyslogTLS\”] %msg%\n”
)
# Skicka alla till Fjärr-Syslog-Meddelanden
åtgärd(
typ=”omfwd”
protokoll=”tcp”
target=”logs-01.loggly.com”
port=”6514″
mall=”LogglyFormat”
StreamDriver=”gtls”
StreamDriverMode=”1″
StreamDriverAuthMode=”x509/namn”
StreamDriverPermittedPeers=”*.loggly.com”
ResendLastMSGOnReconnect=”on”
kö.spoolDirectory=”/var/spool/rsyslog”
kö.filnamn=”queue_sendToLoggly”
kö.size=”5000″
kö.dequeuebatchsize=”300″
kö.highwatermark=”4500″
kö.lowwatermark=”3500″
kö.maxdiskspace=”1g”
kö.saveonshutdown=”on”
kö.typ=”LinkedList”
)
I denna konfiguration, vi definiera format för att skicka loggarna över, som hjälper Loggly korrekt att kategorisera loggar. De åtgärder som konfiguration för att skicka alla Syslog-meddelanden till Loggly som standard. Slutligen för denna konfiguration för att träda i kraft, måste vi starta om rsyslog.
sudo service rsyslog starta om
rsyslog Felsökning
Om du stöter på problem med konfigurationen, som tenderar att vara antingen tillstånd eller en felaktig konfiguration, så du kan visa den aktuella logga in här: /var/log/rsyslog.logga in. Dessutom, för att vända på en högre nivå av avverkning, lägg till följande rader till din rsyslog.conf-filen och starta rsyslog.
$DebugFile /var/log/rsyslog_debug.logga in
$DebugLevel 2
Slutsats
Kombinationen av rsyslog och Loggly är en stark en. Tillåter dig att befästa, bekräfta och analysera loggarna är viktigt att upprätthålla en god säkerhet hållning. Du kommer snabbt att finna att de avancerade funktionerna i Loggly är väl värt setup när den används tillsammans med din avancerad loggning konfiguration för rsyslog.