Red Hat Training

A Red Hat training course is available for RHEL 8

13.4. Configuração do registro remoto sobre o UDP

O aplicativo Rsyslog permite que você configure um sistema para receber informações de registro de dados de sistemas remotos. Para utilizar o registro remoto através do UDP, configure tanto o servidor quanto o cliente. O servidor receptor coleta e analisa os logs enviados por um ou mais sistemas clientes. Por padrão, rsyslog usa o UDP na porta 514 para receber informações de logs de sistemas remotos.

13.4.1. Configuração de um servidor para receber informações de registro remoto sobre o UDP

Siga este procedimento para configurar um servidor para coleta e análise dos logs enviados por um ou mais sistemas clientes sobre o protocolo UDP.

Pré-requisitos

  • O utilitário rsyslog está instalado.

Procedimento

  1. Opcional: Para utilizar uma porta diferente para o tráfego rsyslog do que a porta padrão 514:

    1. Adicionar o tipo syslogd_port_t SELinux à configuração da política SELinux, substituindo portno com o número do porto que você deseja utilizar rsyslog: 

      # semanage port -a -t syslogd_port_t -p udp portno

    2. Configurar firewalld para permitir o tráfego de entrada rsyslog, substituindo portno com o número do porto e zone com a zona que você deseja utilizar rsyslog: 

      # firewall-cmd --zone=zone --permanent --add-port=portno/udp
success

    3. Recarregue as regras de firewall: 

      # firewall-cmd --reload

  2. Crie um novo arquivo .conf no diretório /etc/rsyslog.d/, por exemplo, remotelogserv.conf, e insira o seguinte conteúdo: 

    # Define templates before the rules that use them
### Per-Host Templates for Remote Systems ###
template(name="TmplAuthpriv" type="list") {
    constant(value="/var/log/remote/auth/")
    property(name="hostname")
    constant(value="/")
    property(name="programname" SecurePath="replace")
    constant(value=".log")
    }

template(name="TmplMsg" type="list") {
    constant(value="/var/log/remote/msg/")
    property(name="hostname")
    constant(value="/")
    property(name="programname" SecurePath="replace")
    constant(value=".log")
    }

# Provides UDP syslog reception
module(load="imudp")

# This ruleset processes remote messages
ruleset(name="remote1"){
     authpriv.*   action(type="omfile" DynaFile="TmplAuthpriv")
      *.info;mail.none;authpriv.none;cron.none
action(type="omfile" DynaFile="TmplMsg")
}

input(type="imudp" port="514" ruleset="remote1")

    Onde 514 é o número da porta rsyslog usa por padrão. Você pode especificar uma porta diferente em seu lugar.

  3. Reinicie o serviço rsyslog. 

    # systemctl restart rsyslog

  4. Opcional: Se rsyslog não estiver habilitado, certifique-se de que o serviço rsyslog seja iniciado automaticamente após a reinicialização: 

    # systemctl enable rsyslog

Verificação

  1. Verificar a sintaxe do arquivo /etc/rsyslog.conf e de todos os arquivos .conf no diretório /etc/rsyslog.d/: 

    # rsyslogd -N 1
rsyslogd: version 8.1911.0-2.el8, config validation run (level 1), master config /etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.

Recursos adicionais