반응형

#. 로그 서버 구축(rsyslog)

 

학습 목표

- rsyslog를 통해 로그 서버를 구축하고 DB와 연동한 후 loganalyzer를 통해 웹상에서 로그를 확인할 수 있다.

 

 

로그(Log)란 기록을 의미하는 것으로 특정 이벤트가 발생했을 때 기록을 남기는 것으로 시스템 및 사용자에 대한 분석을 하기 위함으로 시스템 로그, 애플리케이션 로그, 커널 로그 등이 있으며 심각도에 따라 0 ~ 7단계까지 구분하여 기록할 수 있습니다. Emergency가 가장 심각도가 높은 단계이며 Debug가 가장 심각도가 낮은 단계입니다. 만약 4단계인 Warning을 기본 로그 기록 단계로 설정하면 4단계까지의 이벤트에 대해 기록하게 되는 것입니다.

 

 

실습에서는 rsyslog 패키지를 통해 로그 서버를 구축하고 클라이언트에서의 로그를 서버에서 확인해보고 MariaDB와 연동하여 DB에 로그가 저장이 되는지 확인하도록 하며 loganalyzer를 통해 웹상에서 대시보드를 통해 로그 확인을 해보도록 구성하겠습니다. 현재 글과 영상에서는 DB와 연동 전까지 진행하도록 하겠습니다.

 

172.16.1.208 - 로그서버

172.16.1.209 - 리눅스 클라이언트

 

먼저 로그 서버와 클라이언트에서 rsyslog 패키지를 설치한 후 서비스를 시작해주고 서버에서 /etc/rsyslog.conf파일의 설정을 변경해준 후 리눅스 클라이언트에서도 /etc/rsyslog.conf파일에서  [*.*    @remote-host:514]<-이 부분의 remote-host를 로그 서버의 IP주소(172.16.1.208)를 지정해줍니다. 이 후 서버로 동작중인 가상머신의 방화벽에서 514번 포트를 허용한 후 서비스를 재시작하게 되면  이 후부터 클라이언트에서 이벤트가 발생될 경우 서버에서 간단하게 확인이 가능합니다.

 

- 서버 / 클라이언트 동일

#yum install -y rsyslog rsyslog-doc

#systemctl start(enable) rsyslog

 

- 서버

#vi /etc/rsyslog.conf 환경설정 파일에서 아래 부분 주석(#) 제거

$ModLoad imudp

$InputUDPServerRun 514 

 

$ModLoad imtcp

$InputTCPServerRun 514

 

- TCP/UDP 514번 포트로 로그를 수신할 모듈 로드(TCP 또는 UDP 하나만 해도 됨)

 

- 클라이언트

#vi /etc/rsyslog.conf 환경설정 파일에서 아래 내용 수정

*.*    @@remote-host:514 -> *.*    @@172.16.1.208:514 -> UDP 이용

                                                *.*    @172.16.1.208:514 -> TCP 이용

 

 

 

[ 그림 1. #vi /etc/rsyslog.conf 서버에서의 파일 수정 ] - 후티(출처)

 

 

환경 설정 파일을 수정 후 서버와 클라이언트 모두에서 #systemctl restart rsyslog를 통해 서비스를 재시작한 후 서버에서 #yum install -y lsof net-tools 명령어를 통해 테스트를 위한 프로그램을 설치하고 방화벽에서 TCP / UDP 514번 포트를 허용해주면 됩니다.

 

- 서버

#firewall-cmd --permanent --add-port=514/tcp

#firewall-cmd --permanent --add-port=514/udp

#firewall-cmd --reload

 

#lsof -i tcp:514 -> rsyslog tcp 514번 포트 정보 확인

#tail -f /var/log/messages -> 실시간 로그 확인

#netstat -natpl | grep 514 -> 514번 포트 네트워크 상태 확인

 

 

이 후 클라이언트에서 #systemctl restart sshd(httpd, named 등) 명령어를 입력 후 로그 서버에서 정보 수집 확인을 위한 명령어(lsof, netstat, tail 등)로 로그를 확인할 수 있습니다.

 

 

[ 그림 2. rsyslog를 통한 로그 확인 ] - 후티(출처)

 

 

지금까지의 상태로 로그를 일일이 관리하기란 쉽지 않기에 조금 더 쉽게 분석하고 검색하고 저장하기 위해서 데이터베이스와 연동을 하는데 다음 글에서는 MariaDB와 연동을 하여 로그가 어떻게 보여지는지 알아보도록 하겠습니다.

 

관련 영상은 유튜브 채널 'youtube.com/에듀쉐어'를 통해 확인이 가능하며 구독 및 좋아요는 콘텐츠 제작에 많은 힘이 됩니다. 감사합니다.

 

 

[ rsyslog를 통한 로그 서버 구축하기 ] - 에듀쉐어

[에듀쉐어-강좌공유]

반응형
저작자표시 비영리 변경금지

'IT강좌 > 서버|클라우드' 카테고리의 다른 글

후티와 떠나는 서버 여행 - #. MariaDB(MySQL)에서 DB생성부터 데이터 입력까지 (기본 명령어)  (0) 2021.04.27
후티와 떠나는 서버 여행 - #. 리눅스(CentOS 7)에서 고정 IP주소 설정하기  (2) 2020.04.06
후티와 떠나는 서버 여행 - 2장. DNS서버 구축 및 관리(2.4 DNSSEC)  (2) 2020.03.26
후티와 떠나는 서버 여행 - 11장. DHCP 서버 구축 및 설정  (0) 2020.03.11
후티와 떠나는 서버 여행 - 10장. NTP 서버 구축 및 관리  (0) 2020.03.08

+ Recent posts

티스토리툴바