Cargando

Ir a contenido

X


Ver Más! Profesionales IT y desarrolladores: Llega el evento más importante del año! Servicios cloud, Business Applications, Analytics, IoT, Machine Learning, Bots, Blockchain etc.


 


Cómo instalar servidor de registro Rsyslog en Linux

Te explicamos paso a paso cómo instalar un servidor de registro Rsyslog en sistemas Linux.


Escrito por dic 12 2017 10:49



Como administradores, personal de soporte IT o encargados del área de redes y sistemas, contamos con algo fundamental para ayudarnos a llevar un control sobre cada suceso que ocurre dentro del sistema tanto a nivel de usuarios como de aplicaciones o del propio sistema y estos son los eventos.

 

Cada evento registra una serie de elementos que nos ayudan a determinar en detalle cada actividad con valores como fecha, hora, ID, usuario y evento acontecido permitiéndonos así una gestión y administración mucho más centralizada.
Podemos ver que cada registro pertenece a una categoría diferente como del sistema, de seguridad, etc.

 

En ambientes Linux tenemos a nuestra disposición la utilidad Rsyslog con la cual será posible administrar esto eventos de forma simple y completa.

 

Qué es Rsyslog
Rsyslog (rocket-fast system for log - sistema rápido para el procesamiento de registros) es una utilidad diseñada para ofrecer un alto rendimiento, excelentes características de seguridad y un diseño modular que permita ser escalable a medida de cada necesidad de la compañía.

 

Rsyslog está en la capacidad de aceptar entradas de una amplia variedad de fuentes, transformarlas y generar resultados para diversos destinos optimizando la gestión IT.

 

RSYSLOG está en la capacidad de entregar más de un millón de mensajes por segundo a destinos locales cuando se aplica un procesamiento limitado incluyendo destinos remotos.

 

Características de Rsyslog
Al usar Rsyslog tendremos características como:
  • Directiva $LocalHostName [name]: Esta directiva nos permite sobrescribir el nombre de host del sistema con el especificado en la directiva. Si la directiva se da varias veces, todas menos la última serán ignoradas.
  • Soporte para HDFS de Hadoop agregado.
  • Cuenta con un módulo impstat para ejecutar estadísticas periódicas en los contadores Rsyslog.
  • Cuenta con el complemento imptcp.
  • Incluye un nuevo tipo de módulo "generador de cadenas", usado para acelerar el procesamiento de salida.
  • Soporta OSX y Solaris.
  • Capacidad de crear analizadores de mensajes personalizados.
  • Soporte multi-ruleset para imudp.
  • Nueva interfaz de módulo de salida transaccional que proporciona un rendimiento superior.
  • Multi-threading
  • Compatible con los protocolos TCP, SSL, TLS, RELP
  • Soporta MySQL, PostgreSQL, Oracle y más
  • Filtra cualquier parte del mensaje syslog
  • Formato de salida totalmente configurable
  • Adecuado para cadenas de retransmisión de clase empresarial

 

Filtrado de Rsyslog
Rsyslog puede filtrar los mensajes de syslog en base a las propiedades y acciones seleccionadas, estos filtros son:
  • Facilidad o Declarantes Prioritarios
  • Filtros basados en propiedad
  • Filtros basados en expresiones

 

El filtro de facilidad está representado por el subsistema interno de Linux que es el encargado de producir los registros, tenemos las siguientes opciones:

  • auth / authpriv = Son los mensajes producidos por procesos de autenticación
  • cron = Son registros asociados a las tareas cron
  • daemon = Son mensajes relacionados con los servicios del sistema en ejecución
  • kernel = Indican mensajes del kernel de Linux
  • mail = Incluye mensajes del servidor de correo
  • syslog = Son los mensajes relacionados con syslog u otros daemons
  • lpr = Abarca impresoras o mensajes del servidor de impresión
  • local0 - local7 = Cuenta los mensajes personalizados bajo control de administrador
Los niveles de prioridad o severidad con Rsyslog se asignan a una palabra clave y a un número de la siguiente forma:
  • emerg= Emergencia - 0
  • alert= Alertas - 1
  • err= Errores - 3
  • warn= Advertencias - 4
  • notice= Notificación - 5
  • info= Información - 6
  • debbug= Depuración – 7

 


1. Cómo configurar y verificar el estado de Rsyslog en Linux

 

Paso 1

El daemon de Rsyslog está instalado automáticamente en la mayoría de las distribuciones de Linux, pero en caso de no ser así, debemos ejecutar los siguientes comandos:

 

En sistemas Debian
sudo apt-get install Rsyslog

 

En sistemas RedHat o CentOS
sudo yum install Rsyslog

 

Paso 2

Podemos verificar el estado actual de Rsyslog ejecutando la siguiente línea:

 

En distribuciones de Linux que usan Systemd
systemctl status rsyslog.service

 

En versiones antiguas de Linux
service rsyslog status
/etc/init.d/rsyslog status

 

 

 

 

Paso 3

En caso de que el estado del servicio Rsyslog sea inactivo, podremos iniciarlo ejecutando lo siguiente:

 

En versiones nuevas de Linux
systemctl start rsyslog.service

 

En versiones antiguas de Linux
service rsyslog start
/etc/init.d/rsyslog start

 

 


2. Configuración de Rsyslog en Linux


Para configurar un programa rsyslog con el fin de que sea ejecutado en modo servidor, debemos editar el archivo de configuración en el directorio /etc/rsyslog.conf.

 

Paso 1

Podremos acceder usando el editor deseado:
sudo nano /etc/rsyslog.conf

 

 

Paso 2

Allí efectuaremos los siguientes cambios. Ubicar y descomentar, eliminando el signo (#), de las siguientes líneas para permitir la recepción de mensajes de registro UDP en el puerto 514. Por defecto, el puerto UDP es utilizado por syslog para enviar y recibir mensajes:
$ModLoad imudp 
$UDPServerRun 514
Paso 3

El protocolo UDP no es confiable para intercambiar datos a través de una red, por ello podemos configurar Rsyslog para enviar mensajes de registro a un servidor remoto a través del protocolo TCP. Para habilitar el protocolo de recepción TCP, eliminaremos las siguientes líneas:
$ModLoad imtcp 
$InputTCPServerRun 514
Paso 4

Esto permitirá que el daemon rsyslog se enlace y escuche en un socket TCP en el puerto 514.
Ambos protocolos se pueden habilitar en rsyslog para ejecutarse de forma simultánea en Linux.
Si es necesario especificar a qué remitentes se les permite el acceso al daemon rsyslog, debemos agregar las siguientes líneas:
$AllowedSender TCP, 127.0.0.1, 192.168.0.5/24, *.dominio.com

 

Paso 5

En este punto será necesario crear una nueva plantilla la cual será analizada por rsyslog daemon antes de recibir los registros entrantes. Esta plantilla debe indicar al servidor Rsyslog local dónde almacenar los mensajes de registro entrantes. Esta plantilla irá después de la línea $ AllowedSender:
$template Incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
*.*  ?Incoming-logs
& ~

 

Paso 6

Para registrar únicamente los mensajes generados por kern añadiremos lo siguiente. Con lo anterior, los registros recibidos son analizados por la plantilla y serán almacenados en el sistema de archivos local en el directorio /var/log/,en la ruta :% HOSTNAME% y% PROGRAMNAME%.
kern.*   ?Incoming-logs
Paso 7

Podemos guardar los cambios usando la combinación de teclas siguiente:

 

 

 

 

Ctrl +O

 

 

Salimos del editor usando:

 

Ctrl + X

 

 


3. Reiniciar el servicio y verificar puertos de Rsyslog en Linux

 

Paso 1

Cuando efectuemos algún tipo de cambio debemos reiniciar el servicio ejecutando alguna de las siguientes opciones:
sudo service rsyslog restart
sudo systemctl restart Rsyslog
Paso 2

Para comprobar los puertos usados por Rsyslog ejecutaremos lo siguiente:
sudo netstat –tulpn | grep rsyslog
Paso 3

Como hemos indicado, el puerto usado será el 514, debemos habilitarlo en el firewall para su uso con las siguientes líneas.

 

En RedHat y CentOS
firewall-cmd --permanent --add-port=514/tcp
firewall-cmd –reload

 

En Debian
ufw allow 514/tcp
ufw allow 514/udp
Si usamos IPTables:
iptables -A INPUT -p tcp -m tcp --dport 514 -j ACCEPT
iptables -A INPUT -p udp --dport 514 -j ACCEPT

 

 

De esta forma hemos instalado Rsyslog en Linux para la gestión de los diversos tipos de registros que son generados constantemente en él.

 

En este tutorial te explicamos las diferentes alternativas de aureport para generar informes sobre los eventos registrados en los archivos de registro de auditoría Linux.



AYUDA A MEJORAR ESTE TUTORIAL!

¿Quieres ayudarnos a mejorar este tutorial más? Puedes enviar tu Revisión con los cambios que considere útiles. Ya hay 0 usuario que han contribuido en este tutorial al enviar sus Revisiones. ¡Puedes ser el próximo!


Tutoriales Relacionados



Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!
10
VOTA
5
100%
4
0%
3
0%
2
0%
1
0%

  Información

  •   Publicado dic 12 2017 10:49
  •   Visitas 2.1K
  •   Nivel
    Profesional