Podemos ver una pequeña introducción tanto de Systemd y sobre syslog
Describe los diferentes registros (logs) que tienen los sistemas y las aplicaciones instaladas en los nodos del cloud: barney, homer, lisa .
Vamos a explicar los ficheros logs de los paquete y configuraciones mas importantes, en nuestros 3 servidores.
Estos ficheros los vamos a encontrar en los tres servidores en «/var/log/».
COMUNES
apt – log donde se encuentran todos los procesos relacionados con la instalacion, borrado y configuracion de paquete.
aptitude – al igual que el anterior dado que sirve para instalar y eliminar paquete.
auth.log – nos encontramos el registro de inicios, salidas de sesiones de nuestro sistema.
bacula – registro de cada uno de los procesos que realiza bacula, como por ejemplo cuando realiza una copia de seguridad en el cliente.
dpkg.log – Registro de la administración de paquetes (para Debian y Ubuntu), el cual registra que paquetes se instalaron y/o desinstalaron en el sistema
syslog – se tratan de los mensajes del servidor syslogd en sí.
user.log – Informacion sobre los logging que realizan los distintos usuarios del sistema.
BARNEY
mail.log – listado de los mail que recibe y manda nuestro servidor «postfix» de correos.
HOMER
lxd – registros log de linux container
mysql – logs de el gestor de base de datos de mysql, por ejemplo las creaciones de base de datos, las conexiones a esa base de datos, etc..
LISA
httpd – listado de logs del servidor Apache, activaciones de modulos, conexiones al servidor.
Recolección de los logs de todos los sistemas y aplicaciones
Se trata de centralizar los logs de los sistemas,es decir, en nuestro caso tenemos tres maquinas, barney(debian), homer(Ubuntu) y lisa(centos) en las tres por defecto vamos a tener instalado el paquete rsyslog que va a ser el que vamos a utilizar para centralizar las copias y utilizaremos como servidor la maquina barney
Configuración Servidor
Vamos a editar en barney el fichero /etc/rsyslog.conf y vamos a desscomentar las siguientes lineas:
# provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
Una vez modificado el fichero reiniciamos el servicio systemctl restart rsyslog
Configuración de clientes
Y por ultimo configuramos los clientes.
Homer
Añadimos la siguiente linea justo detras de las rules que vienen por defecto en el fichero /etc/rsyslog.d/50-default.conf
*.* @10.0.0.8:514
Y reiniciamos los servicios systemctl restart rsyslog
Lisa
Igual que en homer añadimos la siguiente justo detras de las reglas por defecto en el fichero /etc/rsyslog.conf
*.* @10.0.0.8:514
Y reiniciamos los servicios systemctl restart rsyslog
Notificación de los sucesos relevantes a los administradores
Para ello vamos a configurar el Servidor de Correo, una vez configurado en el fichero /etc/rsyslog.conf en barney vamos a agregar lo siguiente:
$ModLoad ommail $ActionMailSMTPServer localhost $ActionMailFrom listlog@jlramirez.gonzalonazareno.org $ActionMailTo jramirezvaquero@gmail.com $template mailSubject,"Alerta en %hostname%" $template mailBody,"RSYSLOG en la maquina %hostname% Alert='%msg%'" $ActionMailSubject mailSubject if $msg contains 'New session' then :ommail:;mailBody $ActionExecOnlyOnceEveryInterval 0
Así vamos a controlar los inicios de sesión que se realicen en una de las maquinas de la red, debemos añadir un bloque igual que el anterior, por cada proceso que queramos controlar.
Por ejemplo vamos a añadir, un control de cuando se para un servicio en alguna de las maquinas:
$ModLoad ommail $ActionMailSMTPServer localhost $ActionMailFrom listlog@jlramirez.gonzalonazareno.org $ActionMailTo jramirezvaquero@gmail.com $template mailSubject,"Alerta en %hostname%" $template mailBody,"RSYSLOG en la maquina %hostname% Alert='%msg%'" $ActionMailSubject mailSubject if $msg contains 'Stopping' then :ommail:;mailBody $ActionExecOnlyOnceEveryInterval 0
Para comprobarlo vamos a iniciar sesion en «homer» y comprobamos si recibimos un correo:
No se han encontrado comentarios