Admin в 10:39, 15 октября 2025

2025-10-15T10:39:19Z

Admin: Новая страница: «= Настройка системы логирования (rsyslog) = == 1. Подготовка системы == * Войдите в систему под у…»

2025-10-15T08:34:44Z

Новая страница: «= Настройка системы логирования (rsyslog) = == 1. Подготовка системы == * Войдите в систему под у…»

Новая страница

= Настройка системы логирования (rsyslog) =

== 1. Подготовка системы ==

* Войдите в систему под учетной записью с правами '''root''' или пользователя с правами '''sudo'''.
* Убедитесь, что у вас есть доступ к серверу через SSH или консоль.

== 2. Установка rsyslog ===

=== Обновление системы ===

1. Обновите систему:
<code>sudo apt update</code>

2. Проверьте, установлен ли rsyslog:
<code>which rsyslog</code>
<code>rsyslogd -v</code>

3. Если не установлен, установите:
<code>sudo apt install -y rsyslog</code>

4. Запустите и включите автозапуск:
<code>sudo systemctl start rsyslog</code>
<code>sudo systemctl enable rsyslog</code>

5. Проверьте статус:
<code>sudo systemctl status rsyslog</code>

== 3. Базовая конфигурация ===

=== Создание резервной копии ===

1. Создайте резервную копию оригинального файла:
<code>sudo cp /etc/rsyslog.conf /etc/rsyslog.conf.backup</code>

=== Основная конфигурация ===

1. Отредактируйте основной конфигурационный файл:
<code>sudo nano /etc/rsyslog.conf</code>

2. Настройте основные параметры:
<code># Основные настройки
$ModLoad imuxsock
$ModLoad imklog
$ModLoad immark

# Настройки маркеров
$MarkMessagePeriod 0
$MarkInterval 20

# Настройки логирования
$WorkDirectory /var/spool/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# Настройки UDP
$UDPServerRun 514
$UDPServerAddress 127.0.0.1

# Настройки TCP
$InputTCPServerRun 514
$TCPServerAddress 127.0.0.1

# Настройки производительности
$MainMsgQueueType LinkedList
$MainMsgQueueSize 10000
$MainMsgQueueDiscardMark 9750
$MainMsgQueueDiscardSeverity 4
</code>

=== Настройка правил логирования ===

1. Добавьте правила логирования:
<code># Системные логи
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg *
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log

# Apache логи
local0.* /var/log/apache2/access.log
local1.* /var/log/apache2/error.log

# MySQL логи
local2.* /var/log/mysql/error.log

# Nginx логи
local3.* /var/log/nginx/access.log
local4.* /var/log/nginx/error.log
</code>

== 4. Настройка централизованного логирования ===

=== Настройка сервера логирования ===

1. Настройте rsyslog как сервер:
<code>sudo nano /etc/rsyslog.d/50-server.conf</code>

2. Добавьте конфигурацию:
<code># Настройки сервера
$ModLoad imudp
$UDPServerRun 514
$UDPServerAddress 0.0.0.0

$ModLoad imtcp
$InputTCPServerRun 514
$TCPServerAddress 0.0.0.0

# Шаблоны для удаленных логов
$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?RemoteLogs

# Шаблон для всех удаленных логов
$template AllRemoteLogs,"/var/log/remote/%HOSTNAME%.log"
*.* ?AllRemoteLogs

# Правила для удаленных логов
:fromhost-ip, isequal, "192.168.1.100" /var/log/remote/server1.log
:fromhost-ip, isequal, "192.168.1.101" /var/log/remote/server2.log
</code>

=== Настройка клиента логирования ===

1. Настройте rsyslog как клиент:
<code>sudo nano /etc/rsyslog.d/50-client.conf</code>

2. Добавьте конфигурацию:
<code># Настройки клиента
$ModLoad imuxsock
$ModLoad imklog

# Отправка логов на сервер
*.* @@192.168.1.10:514
*.* @@192.168.1.10:514

# Локальное логирование
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
</code>

== 5. Настройка фильтрации логов ===

=== Фильтрация по приоритету ===

1. Создайте правила фильтрации:
<code>sudo nano /etc/rsyslog.d/30-filter.conf</code>

2. Добавьте правила:
<code># Фильтрация критических ошибок
:msg, contains, "CRITICAL" /var/log/critical.log
:msg, contains, "ERROR" /var/log/errors.log
:msg, contains, "WARNING" /var/log/warnings.log

# Фильтрация по приоритету
*.crit /var/log/critical.log
*.err /var/log/errors.log
*.warning /var/log/warnings.log
*.info /var/log/info.log
*.debug /var/log/debug.log
</code>

=== Фильтрация по источнику ===

1. Создайте правила по источникам:
<code>sudo nano /etc/rsyslog.d/40-source.conf</code>

2. Добавьте правила:
<code># Фильтрация по программе
:programname, isequal, "sshd" /var/log/ssh.log
:programname, isequal, "apache2" /var/log/apache2.log
:programname, isequal, "mysql" /var/log/mysql.log
:programname, isequal, "nginx" /var/log/nginx.log

# Фильтрация по хосту
:fromhost-ip, isequal, "192.168.1.100" /var/log/server1.log
:fromhost-ip, isequal, "192.168.1.101" /var/log/server2.log
</code>

== 6. Настройка ротации логов ===

=== Установка logrotate ===

1. Установите logrotate:
<code>sudo apt install -y logrotate</code>

2. Проверьте установку:
<code>logrotate --version</code>

=== Настройка ротации ===

1. Создайте конфигурацию для rsyslog:
<code>sudo nano /etc/logrotate.d/rsyslog</code>

2. Добавьте настройки:
<code>/var/log/remote/*.log {
daily
missingok
rotate 30
compress
delaycompress
notifempty
create 644 syslog adm
postrotate
systemctl reload rsyslog
endscript
}

/var/log/critical.log
/var/log/errors.log
/var/log/warnings.log
/var/log/info.log
/var/log/debug.log {
daily
missingok
rotate 7
compress
delaycompress
notifempty
create 644 syslog adm
postrotate
systemctl reload rsyslog
endscript
}
</code>

=== Тестирование ротации ===

1. Протестируйте конфигурацию:
<code>sudo logrotate -d /etc/logrotate.d/rsyslog</code>

2. Принудительно запустите ротацию:
<code>sudo logrotate -f /etc/logrotate.d/rsyslog</code>

== 7. Настройка мониторинга логов ===

=== Установка logwatch ===

1. Установите logwatch:
<code>sudo apt install -y logwatch</code>

2. Настройте logwatch:
<code>sudo nano /etc/logwatch/conf/logwatch.conf</code>

3. Добавьте настройки:
<code>LogDir = /var/log
TmpDir = /var/cache/logwatch
MailTo = admin@example.com
MailFrom = logwatch@example.com
Print = No
Save = /var/log/logwatch/logwatch.log
Range = yesterday
Detail = Med
Service = All
</code>

=== Настройка автоматических отчетов ===

1. Создайте скрипт для ежедневных отчетов:
<code>sudo nano /usr/local/bin/logwatch-report.sh</code>

2. Добавьте содержимое:
<code>#!/bin/bash

# Создание отчета logwatch
/usr/sbin/logwatch --output mail --mailto admin@example.com --format text

# Создание отчета по критическим ошибкам
grep -i "critical\|error\|fatal" /var/log/syslog | tail -50 > /tmp/critical-errors.log
mail -s "Critical Errors Report" admin@example.com < /tmp/critical-errors.log

# Очистка временных файлов
rm -f /tmp/critical-errors.log
</code>

3. Сделайте скрипт исполняемым:
<code>sudo chmod +x /usr/local/bin/logwatch-report.sh</code>

4. Добавьте в crontab:
<code>sudo crontab -e</code>

5. Добавьте задачу:
<code>0 6 * * * /usr/local/bin/logwatch-report.sh</code>

== 8. Настройка безопасности ===

=== Настройка TLS/SSL ===

1. Создайте SSL сертификаты:
<code>sudo mkdir -p /etc/rsyslog.d/ssl
sudo openssl req -x509 -newkey rsa:4096 -keyout /etc/rsyslog.d/ssl/rsyslog.key -out /etc/rsyslog.d/ssl/rsyslog.crt -days 365 -nodes -subj "/CN=logserver.example.com"</code>

2. Настройте TLS в конфигурации:
<code>sudo nano /etc/rsyslog.d/50-tls.conf</code>

3. Добавьте настройки:
<code>$DefaultNetstreamDriver gtls
$DefaultNetstreamDriverCAFile /etc/rsyslog.d/ssl/rsyslog.crt
$DefaultNetstreamDriverCertFile /etc/rsyslog.d/ssl/rsyslog.crt
$DefaultNetstreamDriverKeyFile /etc/rsyslog.d/ssl/rsyslog.key

$ActionSendStreamDriverMode 1
$ActionSendStreamDriverAuthMode anon
</code>

=== Настройка аутентификации ===

1. Создайте пользователей для rsyslog:
<code>sudo htpasswd -c /etc/rsyslog.d/users admin</code>

2. Настройте аутентификацию:
<code>sudo nano /etc/rsyslog.d/50-auth.conf</code>

3. Добавьте настройки:
<code>$ModLoad imtcp
$InputTCPServerStreamDriverMode 1
$InputTCPServerStreamDriverAuthMode anon
$InputTCPServerRun 514
</code>

== 9. Настройка производительности ===

=== Оптимизация очередей ===

1. Настройте очереди сообщений:
<code>sudo nano /etc/rsyslog.d/60-performance.conf</code>

2. Добавьте настройки:
<code># Настройки очередей
$MainMsgQueueType LinkedList
$MainMsgQueueSize 10000
$MainMsgQueueDiscardMark 9750
$MainMsgQueueDiscardSeverity 4
$MainMsgQueueSaveOnShutdown on

# Настройки потоков
$WorkDirectory /var/spool/rsyslog
$ActionQueueType LinkedList
$ActionQueueFileName logqueue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueTimeoutEnqueue 0
$ActionQueueDiscardMark 9750
$ActionQueueDiscardSeverity 4
</code>

=== Настройка буферизации ===

1. Настройте буферизацию:
<code>sudo nano /etc/rsyslog.d/70-buffering.conf</code>

2. Добавьте настройки:
<code># Буферизация для удаленных логов
$ActionQueueType LinkedList
$ActionQueueFileName remotequeue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueTimeoutEnqueue 0
$ActionQueueDiscardMark 9750
$ActionQueueDiscardSeverity 4

# Асинхронная отправка
$ActionSendDefaultMode async
</code>

== 10. Мониторинг и диагностика ===

=== Создание скрипта мониторинга ===

1. Создайте скрипт мониторинга:
<code>sudo nano /usr/local/bin/rsyslog-monitor.sh</code>

2. Добавьте содержимое:
<code>#!/bin/bash

# Проверка статуса rsyslog
if ! systemctl is-active --quiet rsyslog; then
echo "Rsyslog is down!" | mail -s "Rsyslog Alert" admin@example.com
fi

# Проверка размера логов
LOG_SIZE=$(du -sh /var/log/remote/ 2>/dev/null | awk '{print $1}')
if [ "$LOG_SIZE" != "" ]; then
echo "Remote logs size: $LOG_SIZE" | mail -s "Rsyslog Report" admin@example.com
fi

# Проверка критических ошибок
CRITICAL_COUNT=$(grep -c "CRITICAL" /var/log/syslog 2>/dev/null || echo 0)
if [ $CRITICAL_COUNT -gt 10 ]; then
echo "High number of critical errors: $CRITICAL_COUNT" | mail -s "Rsyslog Alert" admin@example.com
fi

# Проверка подключений
CONNECTIONS=$(netstat -an | grep :514 | wc -l)
echo "Active rsyslog connections: $CONNECTIONS" | mail -s "Rsyslog Report" admin@example.com
</code>

3. Сделайте скрипт исполняемым:
<code>sudo chmod +x /usr/local/bin/rsyslog-monitor.sh</code>

4. Добавьте в crontab:
<code>sudo crontab -e</code>

5. Добавьте задачу:
<code>*/10 * * * * /usr/local/bin/rsyslog-monitor.sh</code>

=== Диагностика проблем ===

1. '''Проверка статуса''':
<code>sudo systemctl status rsyslog</code>

2. '''Проверка конфигурации''':
<code>sudo rsyslogd -N1</code>

3. '''Проверка логов''':
<code>sudo tail -f /var/log/syslog</code>

4. '''Проверка подключений''':
<code>sudo netstat -tlnp | grep :514</code>

5. '''Тестирование правил''':
<code>sudo rsyslogd -N1 -f /etc/rsyslog.conf</code>

== 11. Настройка интеграций ===

=== Интеграция с Elasticsearch ===

1. Установите модуль для Elasticsearch:
<code>sudo apt install -y rsyslog-elasticsearch</code>

2. Настройте отправку в Elasticsearch:
<code>sudo nano /etc/rsyslog.d/80-elasticsearch.conf</code>

3. Добавьте конфигурацию:
<code>$ModLoad omelasticsearch

# Шаблон для Elasticsearch
$template es-template,"{\"@timestamp\":\"%timereported:::date-rfc3339%\",\"host\":\"%hostname%\",\"severity\":\"%syslogseverity%\",\"facility\":\"%syslogfacility%\",\"program\":\"%programname%\",\"message\":\"%msg%\"}"

# Отправка в Elasticsearch
*.* :omelasticsearch:localhost:9200;es-template
</code>

=== Интеграция с базами данных ===

1. Установите модуль для MySQL:
<code>sudo apt install -y rsyslog-mysql</code>

2. Настройте отправку в MySQL:
<code>sudo nano /etc/rsyslog.d/80-mysql.conf</code>

3. Добавьте конфигурацию:
<code>$ModLoad ommysql

# Настройки подключения к MySQL
$ActionMySQLServer localhost
$ActionMySQLDBName Syslog
$ActionMySQLUserName rsyslog
$ActionMySQLPassword password

# Отправка в MySQL
*.* :ommysql:localhost,Syslog,rsyslog,password
</code>

== 12. Резервное копирование ===

=== Создание скрипта резервного копирования ===

1. Создайте скрипт резервного копирования:
<code>sudo nano /usr/local/bin/rsyslog-backup.sh</code>

2. Добавьте содержимое:
<code>#!/bin/bash

BACKUP_DIR="/backup/rsyslog"
DATE=$(date +%Y%m%d_%H%M%S)

# Создание директории для бэкапа
mkdir -p $BACKUP_DIR

# Резервное копирование конфигурации
tar -czf $BACKUP_DIR/rsyslog-config-$DATE.tar.gz -C /etc rsyslog.d

# Резервное копирование логов
tar -czf $BACKUP_DIR/rsyslog-logs-$DATE.tar.gz -C /var/log remote

# Резервное копирование конфигурации logrotate
cp /etc/logrotate.d/rsyslog $BACKUP_DIR/logrotate-rsyslog-$DATE.conf

# Удаление старых бэкапов (старше 7 дней)
find $BACKUP_DIR -name "rsyslog-*" -mtime +7 -delete

echo "Rsyslog backup completed: $DATE"
</code>

3. Сделайте скрипт исполняемым:
<code>sudo chmod +x /usr/local/bin/rsyslog-backup.sh</code>

4. Добавьте в crontab:
<code>sudo crontab -e</code>

5. Добавьте задачу:
<code>0 2 * * * /usr/local/bin/rsyslog-backup.sh</code>

== 13. Устранение неполадок ===

=== Частые проблемы ===

1. '''Rsyslog не запускается''':
* Проверьте конфигурацию: <code>sudo rsyslogd -N1</code>
* Проверьте права доступа к файлам
* Проверьте логи: <code>sudo journalctl -u rsyslog</code>

2. '''Логи не поступают''':
* Проверьте сетевые настройки
* Проверьте файрвол
* Проверьте конфигурацию клиента

3. '''Проблемы с производительностью''':
* Настройте очереди сообщений
* Оптимизируйте правила фильтрации
* Проверьте использование диска

=== Диагностика ===

1. '''Проверка статуса''':
<code>sudo systemctl status rsyslog</code>

2. '''Проверка конфигурации''':
<code>sudo rsyslogd -N1</code>

3. '''Проверка логов''':
<code>sudo tail -f /var/log/syslog</code>

4. '''Проверка подключений''':
<code>sudo netstat -tlnp | grep :514</code>

5. '''Тестирование правил''':
<code>sudo rsyslogd -N1 -f /etc/rsyslog.conf</code>

== Заключение ==

Rsyslog успешно настроен и готов к работе! Теперь у вас есть мощная система централизованного логирования с возможностями фильтрации, ротации и мониторинга.

'''Для размещения ваших систем логирования на надежном хостинге рекомендуем воспользоваться услугами [ARK-HOSTER.RU](https://ark-hoster.ru):'''

* '''[Выделенные серверы](https://ark-hoster.ru/dedicated/)''' - для критически важных систем логирования
* '''[VPS/VDS серверы](https://ark-hoster.ru/vpsgame/)''' - для небольших и средних проектов

Наши специалисты помогут с настройкой rsyslog и оптимизацией производительности ваших систем логирования!

Настройка системы логирования rsyslog - История изменений

Admin в 10:39, 15 октября 2025

Admin: Новая страница: «= Настройка системы логирования (rsyslog) = == 1. Подготовка системы == * Войдите в систему под у…»