В этом руководстве представлен простой способ настройки системного журнала в Solaris 11.4 для отправки журналов на удаленный сервер системного журнала.
Системный журнал — это встроенный менеджер журналов Solaris 11.4. Он должен быть включен по умолчанию. Прежде чем приступить к настройке системного журнала в Solaris 11.4, сначала проверьте, включен ли он.
svcs system-logSTATE STIME FMRI
disabled 2:07:53 svc:/system/system-log:rsyslog
online 23:08:50 svc:/system/system-log:default
Согласно приведенному выше выводу, встроенный системный журнал включен.
Настройка удаленного ведения журнала системного журнала на Солярисе 11.4
Поэтому вам необходимо настроить системный журнал и определить сообщения журнала, которые будут пересылаться на центральный сервер журналов. Это можно сделать, определив facility и priority журналов.
Средство определяет тип программы, регистрирующей сообщение, например ядро, почтовую систему, процессы безопасности, системный журнал, системные демоны и т. д. Определенные средства: auth (or security), authpriv, cron, daemon, ftp, kern, lpr, mail, mark, news, syslog, user, uucp, and local0-local7.
С другой стороны, приоритет определяет уровень серьезности сообщения. Возможные приоритеты, расположенные в порядке убывания срочности, включают: emerg (or panic (0)), alert (1), crit (2), err (or error(3)), warning (or warn (4)), notice (5), info (6), debug (7).
Таким образом, в этом руководстве мы собираемся отправлять все информационные сообщения на удаленный сервер. Следовательно, отредактируйте файл конфигурации системного журнала, /etc/syslog.conf и добавьте строку ниже.
vim /etc/syslog.conf
...
# This file is processed by m4 so be careful to quote (`') names
# that match m4 reserved words. Also, within ifdef's, arguments
# containing commas must be quoted.
#
*.err;kern.notice;auth.notice /dev/sysmsg
*.err;kern.debug;daemon.notice;auth.none;mail.crit /var/adm/messages
*.alert;kern.err;daemon.err operator
*.alert root
*.emerg *
# Forward informational Messages
*.info @remotehost # Use a tab instead of spaces.
...
Убедитесь, что вы используете табуляцию вместо пробелов;
*.info<tab>@remotehost
Сохраните файл конфигурации и перезапустите системный журнал.
svcadm restart system-log:default
Проверьте подключение к удаленному серверу журналов
Затем убедитесь, что сервер Solaris 11.4 может обмениваться данными с UDP-портом 514 удаленного сервера системного журнала. Это можно сделать с помощью команды netcat. Следовательно, на удаленном сервере запустите netcat для прослушивания команды, как показано ниже;
nc -l 514
В Solaris 11.4 запустите netcat, как показано ниже;
netcat 192.168.43.85 514
Введите что-нибудь в командной строке, и вы сможете увидеть то же самое на удаленном хосте.
Настройка каталога журналов удаленного сервера регистрации
На удаленном центральном сервере системных журналов настройте его так, чтобы он сохранял полученные журналы в определенный каталог с IP-адресом/имя хоста в качестве идентификатора источника журналов. См. пример ниже;
...
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
# provides TCP syslog reception
#module(load="imtcp")
#input(type="imtcp" port="514")
#Custom template to generate the log filename dynamically based on the client's IP address.
$template RemInputLogs, "/var/log/remotelogs/%FROMHOST-IP%.log"
*.* ?RemInputLogs
...
Проверка приема журнала на удаленном сервере журналов
Затем попробуйте инициировать аутентификацию ssh на сервере Solaris 11.4. В то же время запустите команду tcpdump на сервере системного журнала, чтобы убедиться, что журналы действительно отправляются с сервера Solaris 11.4.
tcpdump -i enp0s3 src solaris_server_IP and port 514
В выводе tcpdump ниже вы можете увидеть два сообщения аутентификации, поскольку я попробовал как неудачную, так и успешную аутентификацию на сервере Solaris 11.4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
21:17:34.926331 IP 192.168.43.181.61781 > u18svr.syslog: SYSLOG auth.error, length: 117
21:17:48.962226 IP 192.168.43.181.61781 > u18svr.syslog: SYSLOG auth.info, length: 132
В то же время вы можете проверить файл журнала на удаленном сервере, как указано в файле конфигурации выше.
tail /var/log/remotelogs/192.168.43.181.log 2024-01-13T00:06:19+00:00 192.168.43.181 /usr/sbin/dhcpagent[497]: [ID 538334 unixs.ru] configure_v4_timers: net0 acquired lease, expires Thu Feb 14 01:06:19 2024
2024-01-13T00:06:19+00:00 192.168.43.181 /usr/sbin/dhcpagent[497]: [ID 759141 unixs.ru] configure_v4_timers: net0 begins renewal at Thu Feb 14 00:32:46 2024
2024-01-13T00:06:19+00:00 192.168.43.181 /usr/sbin/dhcpagent[497]: [ID 480545 unixs.ru] configure_v4_timers: net0 begins rebinding at Thu Feb 14 00:55:16 2024
2024-01-13T00:17:35+00:00 192.168.43.181 sshd[1711]: [ID 800047 auth.error] error: PAM: Authentication failed for root from 192.168.43.149
2024-01-13T00:17:49+00:00 192.168.43.181 sshd[1711]: [ID 800047 auth.info] Accepted keyboard-interactive/pam for root from 192.168.43.149 port 40300 ssh2
Прекрасно, вот как легко настроить системный журнал для отправки журналов на удаленный сервер системного журнала в Solaris 11.4.