Header Ads

Home / Notícias / Como configurar o RSysLog com o Loggly

Como configurar o RSysLog com o Loggly

sexta-feira, julho 10, 2020

No sistema operacional Linux, muitos aplicativos enviam logs para o syslog, o mecanismo de log primário. As melhores práticas de segurança geralmente determinam que é ideal enviar seus logs para um sistema separado, como o Loggly, uma solução SaaS para gerenciamento de dados de log.

Há muitas razões para fazer isso, mas as principais são:

  • Backup de dados críticos de log
  • Capacidade de verificar a integridade do log e detectar alterações nos dados
  • Consolidação de logs nos sistemas

O Loggly tem muitos recursos, como mostrado abaixo, mas um recurso, em particular, é a capacidade de implantação sem agente do Loggly.

  • Monitorando vários sistemas em nuvem, logs internos e logs de aplicativos
  • Integração com sistemas de terceiros, como Slack, GitHub ou PagerDuty
  • Análise e visualização de dados usando gráficos e KPIs
  • implantação sem agente

Neste artigo, explicaremos como integrar o Loggly ao rsyslog, um substituto comum e poderoso para o syslogd. Isso significa que não há agente necessário em um sistema Linux e o rsyslog pode ser configurado para enviar diretamente os logs para o Loggly.

Instalando o rsyslog

Muitos sistemas vêm com o rsyslog pré-instalado, mas se não estiver, são necessárias algumas etapas para a instalação. Embora o rsyslog seja comumente incluído nos repositórios de muitas distribuições, pode não ser a versão mais recente. Neste artigo, o Ubuntu é a distribuição de escolha, principalmente a de 18.04. As instruções para outras distribuições estão localizadas aqui.

Esta seção pode indicar a instalação do código-fonte, mas os repositórios listados permitem instalar as versões mais recentes do pacote.

Adicionando o repositório rsyslog

No caso do Ubuntu, precisamos adicionar o repositório Adiscon PPA. 

 apt-get update & & apt-get install -y software-propriedades-comuns add-apt-repository -y ppa: adiscon / v8-stable

Instalando o rsyslog

Existem dois pacotes principais que precisamos instalar para o rsyslog. Além do próprio pacote base, o pacote rsyslog-gnutls nos permite usar uma conexão criptografada com o serviço Loggly. 

 atualização do apt-get apt-get install rsyslog apt-get install rsyslog-gnutls

Adicionando certificados Certificados TLS

Antes de configurar o rsyslog com o TLS, primeiro precisamos fazer o download e tornar acessíveis os certificados Loggly. 

 sudo mkdir /etc/rsyslog.d/keys/ca.d wget -O /etc/rsyslog.d/keys/ca.d/logs-01. loggly. com_sha12. crt < https: / /logdog. loggly. com/media/logs-01. loggly. com_sha12. crt> [/PRÉ]
 Verificando as permissões do diretório de trabalho 
 Há alguns casos em que as permissões / var / spool / rsyslog estão incorretas e o código a seguir verifica se as permissões estão definidas corretamente (no contexto do Ubuntu 18.04). 
 
 sudo chown -R syslog: adm / var / spool / rsyslog sudo chmod -R 644 / var / spool / rsyslog 
 Configurando o Loggly 
 Com o tempo, as diretivas e sintaxe de configuração foram alteradas para o rsyslog. Muitas vezes, há uma mistura de diretivas antigas e novas disponíveis. Abaixo está uma configuração padrão para o rsyslog usando apenas a nova sintaxe. O principal motivo para modificar essa configuração é apontar rsyslog para o certificado que acabamos de baixar. 
 
 ################# #### MÓDULOS #### ################## módulo módulo (load = "imuxsock") (load = "imklog") módulo (load = "builtin: omfile" fileOwner = "syslog" fileGroup = "adm" fileCreateMode = "0644" dirOwner = "syslog" dirGroup = "adm" dirCreateMode = "0755") módulo (carga = intervalo "impstats" = "600" severidade = "7" log. syslog = "off" log. file = "/ var / log / rsyslog_stats. log") ###### ##################### #### DIRETRIZES GLOBAIS #### ################### ######## global (maxMessageSize = "64k" defaultNetstreamDriverCAFile = "/ etc / rsyslog.d / keys / ca.d / logs-01. loggly. com_sha12. crt" defaultNetstreamDriver = "gtls" workDirectory = "/ var / spool / rsyslog ") # # Inclua todos os arquivos de configuração em /etc/rsyslog.d/ # include (file =" / etc / rsyslog.d / *. conf ") 
 
 A parte importante do código é o defaultNetstreamDriverCAFile e o defaultNetstreamDriver. Essas diretivas precisam ser configuradas corretamente para apontar para o certificado baixado. 
 
 Depois de fazer login na sua conta Loggly, você precisará criar um token de cliente. Está localizado em Configuração de origem > Tokens de cliente. Como está chegando uma nova interface do usuário, estão incluídas abaixo as capturas de tela para as interfaces antiga e nova. 
 
 
 
 Nova interface do usuário. 
 
 
 
 Interface do usuário antiga. 
 Depois de navegar para os tokens do cliente, clique no botão "Adicionar novo". para gerar um novo token. É melhor fornecer uma descrição a este token. 
 
 
 Finalmente, você terá um token que poderá usar. Copie isso para uso posterior em nossos arquivos de configuração. 
 
 
 Configurando o rsyslog para Loggly 
 A etapa final para configurar o rsyslog para Loggly é definir nosso arquivo de configuração e reiniciar o rsyslog. Abaixo está um arquivo de configuração padrão localizado em /etc/rsyslog.d/22-remote. conf que instruirá o rsyslog a enviar eventos syslog para o Loggly. 
 
 O número 22 não é importante, é apenas uma maneira de definir a ordem de carregamento dos arquivos de configuração. Escolha um número que faça sentido na sua configuração. 
 
 Modelo 
 (nome = "LogglyFormat" tipo = "string" string = "<% pri% >% versão do protocolo%% timestamp ::: date-rfc3339%% HOSTNAME%% app-name% % procid%% msgid% [ca35d899-0232-4888-a8d5-118fbf5caf8d tag = \\ "RsyslogTLS \\"]% msg% \\ n ") # Enviar todas as mensagens do Syslog para a ação remota (tipo = protocolo" omfwd "= "tcp" target = "logs-01. loggly. com" port = "6514" template = "LogglyFormat" StreamDriver = "gtls" StreamDriverMode = "1" StreamDriverAuthMode = "x509 / name" StreamDriverPermittedPeers = "*. loggly. com" ResendLastMSGOnReconnect = "on" queue. spoolDirectory = "/ var / spool / rsyslog" queue. filename = "queue_sendToLoggly" queue. size = "5000" queue. dequeuebatchsize = "300" queue. highwatermark = "4500" queue. lowwatermark = " 3500 "queue. maxdiskspace =" 1g "queue. saveonshutdown =" em "queue. type =" LinkedList ") 
 Nesta configuração, definimos o formato para o envio dos logs, o que ajuda o Loggly a categorizar adequadamente os logs. A configuração da ação é para enviar todas as mensagens Syslog para o Loggly por padrão. Finalmente, para que essa configuração entre em vigor, precisamos reiniciar o rsyslog. 
 
 serviço sudo rsyslog restart 
 Solução de problemas do rsyslog 
 Se você estiver enfrentando problemas com a configuração, que tendem a ser permissões ou uma configuração incorreta, é possível visualizar o log atual aqui: /var/log/rsyslog. log. Além disso, para ativar um nível mais alto de log, adicione as seguintes linhas ao arquivo rsyslog. conf e reinicie o rsyslog. 
 
 $ DebugFile /var/log/rsyslog_debug. log $ DebugLevel 2 
 Conclusão 
 A combinação de rsyslog e Loggly é poderosa. Permitir que você consolide, valide e analise seus logs é importante para manter uma postura de segurança adequada. Você descobrirá rapidamente que os recursos avançados do Loggly valem bem a instalação quando usados ​​em conjunto com a configuração avançada de log do rsyslog. 
Via: How to Geek

Nenhum comentário

Assinar: Postar comentários ( Atom )