Wie richte RSysLog mit Loggly

0
34

In der Linux-Betriebssystem, viele Programme senden die Protokolle an den syslog -, die primären logging-Mechanismus. Beste Sicherheitspraktiken oft diktieren, dass es ideal ist, um senden Sie Ihre Protokolle auf einem separaten system, wie Loggly, eine SaaS-Lösung für log-Daten-management.

Es gibt viele Gründe, dies zu tun, aber die primären diejenigen sind:

  • Backup wichtiger Daten loggen
  • Fähigkeit zum überprüfen der log-Integrität und detektieren von Daten-änderungen
  • Konsolidierung der Protokolle über Systeme hinweg

Loggly hat viele Funktionen, wie unten dargestellt, aber ein feature, insbesondere, ist Loggly agent-Kostenlose Bereitstellung-Fähigkeit.

  • Überwachung mehrere cloud-Systeme, interne Protokolle und Anwendungs-logs
  • Integration mit Systemen von Drittanbietern, wie Slack, GitHub, oder PagerDuty
  • Analyse und Visualisierung von Daten mit Diagrammen und KPIs
  • Agent-Kostenlose Bereitstellung

In diesem Artikel werden wir erklären, wie Sie zu integrieren Loggly mit rsyslog, eine gemeinsame und leistungsfähige Ersatz für syslogd. Dies bedeutet, dass es kein agent benötigt, der auf einem Linux-system, und rsyslog konfiguriert werden kann, um direkt zu senden die Protokolle an Loggly.

Die Installation von rsyslog

Viele Systeme kommen mit rsyslog vorinstalliert, aber wenn es nicht ist, sind einige Schritte für die installation benötigt. Obwohl rsyslog ist im Allgemeinen in den repositories vieler Distributionen, kann es nicht die neueste version. In diesem Artikel Ubuntu ist die distribution der Wahl, insbesondere die von 18.04. Anleitungen für andere Distributionen befinden sich hier.

Dieser Abschnitt kann sagen, dass die Installation aus den Quellen, aber die repositories aufgelistet wird Ihnen ermöglichen, installieren Sie die neuesten Versionen des Pakets.

Hinzufügen der rsyslog-Repository

Im Fall von Ubuntu, müssen wir hinzufügen, die Adiscon PPA-repository.

apt-get update && apt-get install -y-software-properties-common
add-apt-repository -y ppa:adiscon/v8-stabil

Die Installation von rsyslog

Es gibt zwei Pakete, die wir installieren müssen für rsyslog. Über das Basis-Paket selbst, das rsyslog-gnutls-Paket ermöglicht es uns, verwenden Sie eine verschlüsselte Verbindung zum Loggly service.

apt-get update
apt-get install rsyslog
apt-get install rsyslog-gnutls

Hinzufügen der Loggly TLS-Zertifikate

Bevor wir konfigurieren rsyslog mit TLS, wir müssen zuerst herunterladen und zugänglich zu machen, die Loggly Zertifikate.

sudo mkdir /etc/rsyslog.d/keys/ca.d
wget -O /etc/rsyslog.d/keys/ca.d/logs-01.loggly.com_sha12.crt <https://logdog.loggly.com/media/logs-01.loggly.com_sha12.crt>

Die überprüfung der Arbeit Directory-Berechtigungen

Es gibt einige Fälle, in denen der /var/spool/rsyslog Berechtigungen falsch sind, und der folgende code überprüft, ob die Berechtigungen richtig gesetzt sind (im Kontext von Ubuntu 18.04).

sudo chown -R syslog:adm /var/spool/rsyslog
sudo chmod -R 644 /var/spool/rsyslog

Konfigurieren Loggly

Im Laufe der Zeit, die Konfiguration von Richtlinien und syntax geändert haben, für rsyslog. Oft ist es eine Mischung aus der alten und der neuen Richtlinien zur Verfügung. Unten ist eine Standard-Konfiguration für rsyslog die neue syntax nur. Der Hauptgrund für diese Konfiguration geändert wird zu Punkt rsyslog, um das Zertifikat, das wir gerade heruntergeladen haben.

#################
#### MODULE ####
#################

Modul( load=”imuxsock” )
Modul( load=”imklog” )
Modul( load=”builtin:omfile”
fileOwner=”syslog”
Dateigruppe=”adm”
fileCreateMode=”0644″
dirOwner=”syslog”
dirGroup=”adm”
dirCreateMode=”0755″
)
Modul( load=”impstats”
Intervall=”600″
Schweregrad=”7″
log.syslog=”off”
log.Datei=”/var/log/rsyslog_stats.log”
)

###########################
#### GLOBALE DIREKTIVEN ####
###########################

global (
maxMessageSize=”64 Kb”
defaultNetstreamDriverCAFile=”/etc/rsyslog.d/keys/ca.d/logs-01.loggly.com_sha12.crt”
defaultNetstreamDriver=”gtls”
Arbeitsverzeichnis=”/var/spool/rsyslog”
)

#
# Include werden alle config-Dateien in /etc/rsyslog.d/
#
include(file=”/etc/rsyslog.d/*.conf”)

Der wichtige Teil des Codes ist defaultNetstreamDriverCAFile und defaultNetstreamDriver. Diese Richtlinien müssen korrekt konfiguriert sein und zeigen Sie auf das heruntergeladene Zertifikat.

Nach der Anmeldung in Ihrem Loggly-Konto, müssen Sie erstellen eine Kunden-token. Dieser befindet sich unter Source Setup – > Kunden-Token. Da es eine neue Benutzeroberfläche kommen, enthalten unten sind die screenshots des alten und neuen Schnittstellen.

Neue Benutzeroberfläche.
Alten User Interface.

Sobald Sie eine Navigation gestartet haben, um Kunden-Token, klicken Sie auf die “Add New” – Taste generieren Sie ein neues token. Es ist am besten zu geben, die dieses token eine Beschreibung.

Schließlich haben Sie ein token, das Sie verwenden können. Kopieren Sie diese zur späteren Verwendung in unseren Konfigurations-Dateien.

Konfiguration von rsyslog für Loggly

Der Letzte Schritt für die Konfiguration von rsyslog für Loggly ist zu definieren, unsere Konfigurationsdatei und starten Sie rsyslog. Unten ist eine Standard-Konfigurationsdatei liegt in /etc/rsyslog.d/22-auf der Fernbedienung.conf, die wird Ihnen sagen, rsyslog zum senden von syslog-Ereignisse zu Loggly.

Die Zahl 22 ist nicht wichtig, dies ist lediglich ein Weg, um die Reihenfolge festzulegen, beim laden der Konfigurationsdateien. Wählen Sie eine Zahl, die Sinn in Ihrer Konfiguration.

Vorlage(
name=”LogglyFormat”
type=”string”
string=”<%pri%>%Protokoll-version% %timestamp:::Datum-rfc3339% %HOSTNAME% %app-name% %procid% %msgid% [ca35d899-0232-4888-a8d5-118fbf5caf8d tag=\”RsyslogTLS\”] %msg%\n”
)

# Senden alle Syslog-Nachrichten an Entfernte
action(
type=”omfwd”
protocol=”tcp”
target=”logs-01.loggly.com”
port=”6514″
template=”LogglyFormat”
StreamDriver=”gtls”
StreamDriverMode=”1″
StreamDriverAuthMode=”x509/name”
StreamDriverPermittedPeers=”*.loggly.com”
ResendLastMSGOnReconnect=”auf”
Warteschlange.”spoolDirectory” =”/var/spool/rsyslog”
Warteschlange.filename=”queue_sendToLoggly”
Warteschlange.size=”5000″
Warteschlange.dequeuebatchsize=”300″
Warteschlange.highwatermark=”4500″
Warteschlange.lowwatermark=”3500″
Warteschlange.maxdiskspace=”1g”
Warteschlange.saveonshutdown=”auf”
Warteschlange.type=”LinkedList”
)

In dieser Konfiguration definieren wir das format für das senden der Protokolle, die hilft, Loggly richtig zu kategorisieren, die Protokolle. Die action-Konfiguration für senden, werden alle Syslog-Nachrichten an Loggly standardmäßig. Schließlich für diese Konfiguration wirksam werden, müssen wir rsyslog neu starten.

sudo service rsyslog restart

rsyslog Fehlerbehebung

Wenn Sie stoßen Probleme mit der Konfiguration, die in der Regel entweder Berechtigungen oder eine falsche Konfiguration, dann kannst du das aktuelle Protokoll hier: /var/log/rsyslog.log. Darüber hinaus auf einer höheren Ebene die Protokollierung zu aktivieren, fügen Sie folgende Zeilen in der “rsyslog”.conf-Datei und starten Sie rsyslog.

$DebugFile /var/log/rsyslog_debug.melden
$DebugLevel 2

Fazit

Die Kombination von rsyslog und Loggly ist ein leistungsstarkes ein. So dass Sie zu festigen, überprüfen und analysieren Ihre Protokolle ist wichtig zur Aufrechterhaltung eines ordnungsgemäßen Sicherheitslage. Sie werden schnell feststellen, dass die erweiterten Funktionen von Loggly sind, lohnt sich die Einrichtung, wenn verwendet, in Verbindung mit den advanced logging-Konfiguration für rsyslog.