13.4. Configuração do registro remoto sobre o UDP

O aplicativo Rsyslog permite que você configure um sistema para receber informações de registro de dados de sistemas remotos. Para utilizar o registro remoto através do UDP, configure tanto o servidor quanto o cliente. O servidor receptor coleta e analisa os logs enviados por um ou mais sistemas clientes. Por padrão, rsyslog usa o UDP na porta 514 para receber informações de logs de sistemas remotos.

13.4.1. Configuração de um servidor para receber informações de registro remoto sobre o UDP

Siga este procedimento para configurar um servidor para coleta e análise dos logs enviados por um ou mais sistemas clientes sobre o protocolo UDP.

Pré-requisitos

  • O utilitário rsyslog está instalado.

Procedimento

  1. Opcional: Para utilizar uma porta diferente para o tráfego rsyslog do que a porta padrão 514:

    1. Adicionar o tipo syslogd_port_t SELinux à configuração da política SELinux, substituindo portno com o número do porto que você deseja utilizar rsyslog:

      # semanage port -a -t syslogd_port_t -p udp portno
    2. Configurar firewalld para permitir o tráfego de entrada rsyslog, substituindo portno com o número do porto e zone com a zona que você deseja utilizar rsyslog:

      # firewall-cmd --zone=zone --permanent --add-port=portno/udp
      success
    3. Recarregue as regras de firewall:

      # firewall-cmd --reload
  2. Crie um novo arquivo .conf no diretório /etc/rsyslog.d/, por exemplo, remotelogserv.conf, e insira o seguinte conteúdo:

    # Define templates before the rules that use them
    ### Per-Host Templates for Remote Systems ###
    template(name="TmplAuthpriv" type="list") {
        constant(value="/var/log/remote/auth/")
        property(name="hostname")
        constant(value="/")
        property(name="programname" SecurePath="replace")
        constant(value=".log")
        }
    
    template(name="TmplMsg" type="list") {
        constant(value="/var/log/remote/msg/")
        property(name="hostname")
        constant(value="/")
        property(name="programname" SecurePath="replace")
        constant(value=".log")
        }
    
    # Provides UDP syslog reception
    module(load="imudp")
    
    # This ruleset processes remote messages
    ruleset(name="remote1"){
         authpriv.*   action(type="omfile" DynaFile="TmplAuthpriv")
          *.info;mail.none;authpriv.none;cron.none
    action(type="omfile" DynaFile="TmplMsg")
    }
    
    input(type="imudp" port="514" ruleset="remote1")

    Onde 514 é o número da porta rsyslog usa por padrão. Você pode especificar uma porta diferente em seu lugar.

  3. Reinicie o serviço rsyslog.

    # systemctl restart rsyslog
  4. Opcional: Se rsyslog não estiver habilitado, certifique-se de que o serviço rsyslog seja iniciado automaticamente após a reinicialização:

    # systemctl enable rsyslog

Verificação

  1. Verificar a sintaxe do arquivo /etc/rsyslog.conf e de todos os arquivos .conf no diretório /etc/rsyslog.d/:

    # rsyslogd -N 1
    rsyslogd: version 8.1911.0-2.el8, config validation run (level 1), master config /etc/rsyslog.conf
    rsyslogd: End of config validation run. Bye.

Recursos adicionais