13.7. 使用带有 RELP 的 logging 系统角色

流程

1. 使用以下内容创建一个 playbook.yml 文件：

   ---
   - name: Deploying basic input and relp output
     hosts: clients
     roles:
       - rhel-system-roles.logging
     vars:
       logging_inputs:
         - name: basic_input
           type: basics
       logging_outputs:
         - name: relp_client
           type: relp
           target: logging.server.com
           port: 20514
           tls: true
           ca_cert: /etc/pki/tls/certs/ca.pem
           cert: /etc/pki/tls/certs/client-cert.pem
           private_key: /etc/pki/tls/private/client-key.pem
           pki_authmode: name
           permitted_servers:
             - '*.server.example.com'
       logging_flows:
         - name: example_flow
           inputs: [basic_input]
           outputs: [relp_client]

   playbook 使用以下设置：

   • target: 这是一个必需的参数，用于指定运行远程日志系统的主机名。
   • 端口 ：显示远程日志记录系统正在侦听的端口号。

   • TLS ：确保通过网络安全地传输日志。如果您不想要安全打包程序，可以将 tls 变量设置为 false。在与 RELP 工作时，默认的 tls 参数被设置为 true，且需要密钥/证书和 triplets {ca_cert、cert、private_key} 和/或 {ca_cert_src,cert_src,private_key_src}。

     • 如果设置了 {ca_cert_src,cert_src,private_key_src} 三元组，则默认位置 /etc/pki/tls/certs 和 /etc/pki/tls/private 被用作受管节点上的目的地，以便从控制节点传输文件。在这种情况下，文件名与 triplet 中的原始名称相同
     • 如果设置了 {ca_cert,cert,private_key} 三元组，则文件在日志配置前应位于默认路径上。
     • 如果两个三元组都设置了，则文件将从控制节点的本地路径传输到受管节点的特定路径。
   • ca_cert ：代表 CA 证书的路径。默认路径为 /etc/pki/tls/certs/ca.pem，文件名由用户设置。
   • cert：表示证书的路径。默认路径为 /etc/pki/tls/certs/server-cert.pem，文件名由用户设置。
   • private_key ：代表私钥的路径。默认路径为 /etc/pki/tls/private/server-key.pem，文件名由用户设置。
   • ca_cert_src: 表示复制到目标主机的本地 CA 证书文件路径。如果指定了 ca_cert，则会将其复制到该位置。
   • cert_src: 表示复制到目标主机的本地证书文件路径。如果指定了 cert，则会将其复制到该位置。
   • private_key_src: 代表复制到目标主机的本地密钥文件路径。如果指定了 private_key，则会将其复制到该位置。
   • pki_authmode ：接受身份验证模式作为名称或指纹。
   • permitted_servers：日志客户端允许通过 TLS 连接和发送日志的服务器列表。
   • 输入 ：日志记录输入字典列表。
   • 输出 ：日志输出字典列表。

2. 可选：验证 playbook 语法。

   # ansible-playbook --syntax-check playbook.yml

3. 运行 playbook：

   # ansible-playbook -i inventory_file playbook.yml

流程

1. 使用以下内容创建一个 playbook.yml 文件：

   ---
   - name: Deploying remote input and remote_files output
     hosts: server
     roles:
       - rhel-system-roles.logging
     vars:
       logging_inputs:
         - name: relp_server
           type: relp
           port: 20514
           tls: true
           ca_cert: /etc/pki/tls/certs/ca.pem
           cert: /etc/pki/tls/certs/server-cert.pem
           private_key: /etc/pki/tls/private/server-key.pem
           pki_authmode: name
           permitted_clients:
             - '*example.client.com'
       logging_outputs:
         - name: remote_files_output
           type: remote_files
       logging_flows:
         - name: example_flow
           inputs: relp_server
           outputs: remote_files_output

   playbook 使用以下设置：

   • 端口 ：显示远程日志记录系统正在侦听的端口号。

   • TLS ：确保通过网络安全地传输日志。如果您不想要安全打包程序，可以将 tls 变量设置为 false。在与 RELP 工作时，默认的 tls 参数被设置为 true，且需要密钥/证书和 triplets {ca_cert、cert、private_key} 和/或 {ca_cert_src,cert_src,private_key_src}。

     • 如果设置了 {ca_cert_src,cert_src,private_key_src} 三元组，则默认位置 /etc/pki/tls/certs 和 /etc/pki/tls/private 被用作受管节点上的目的地，以便从控制节点传输文件。在这种情况下，文件名与 triplet 中的原始名称相同
     • 如果设置了 {ca_cert,cert,private_key} 三元组，则文件在日志配置前应位于默认路径上。
     • 如果两个三元组都设置了，则文件将从控制节点的本地路径传输到受管节点的特定路径。
   • ca_cert ：代表 CA 证书的路径。默认路径为 /etc/pki/tls/certs/ca.pem，文件名由用户设置。
   • cert ：表示证书的路径。默认路径为 /etc/pki/tls/certs/server-cert.pem，文件名由用户设置。
   • private_key ：代表私钥的路径。默认路径为 /etc/pki/tls/private/server-key.pem，文件名由用户设置。
   • ca_cert_src: 表示复制到目标主机的本地 CA 证书文件路径。如果指定了 ca_cert，则会将其复制到该位置。
   • cert_src: 表示复制到目标主机的本地证书文件路径。如果指定了 cert，则会将其复制到该位置。
   • private_key_src: 代表复制到目标主机的本地密钥文件路径。如果指定了 private_key，则会将其复制到该位置。
   • pki_authmode ：接受身份验证模式作为名称或指纹。
   • permitted_clients：日志记录服务器允许通过 TLS 连接和发送日志的客户端列表。
   • 输入 ：日志记录输入字典列表。
   • 输出 ：日志输出字典列表。

2. 可选：验证 playbook 语法。

   # ansible-playbook --syntax-check playbook.yml

3. 运行 playbook：

   # ansible-playbook -i inventory_file playbook.yml