8. Реализуйте мониторинг по средствам rsyslog

Задача:

8. Реализуйте мониторинг по средствам rsyslog

• Сервер сбора логов расположен на HQ-SRV1
• Собирать логи необходимо со всех устройств двух офисов
• Приоритет сообщений должен быть не ниже warning.
• Все журналы должны находиться в директории /opt. Для каждого хоста должна выделяться своя директория, которая совпадает с именем машины, например, для сервера HQ-SRV2 должна создаваться директория hq-srv2.au.team.
• Реализуйте ротацию логов:
  • Ротация производится один раз в неделю
  • Логи необходимо сжимать
  • Минимальный размер логов для ротации – 100 МБ  

Варианта реализации:

HQ-SRV1:

• Устанавливаем rsyslog:

apt-get install rsyslog-server-listen rsyslog-classic -y

• Вносим следующие изменения в конфигурационный файл /etc/rsyslog.d/01_rules.conf:

vim /etc/rsyslog.d/01_rules.conf

• • где:
    • 1-я строка позволяет создать директорию для хранения логов под каждое устройство в формате полного доменного имени;
    • 2-я строка задаёт шаблон с именем remote-logs и определяет директорию для хранения логов;
    • 3-я строка задаёт приоритет сбора логов, по заданию не ниже warning;
    • 4-я строка останавливает

• Включаем и добавляем в автозагрузку службу rsyslogd:

systemctl enable --now rsyslogd

• Проверяем, что rsyslog - готов принимать сообщения из сети:

• Проверяем создание директории под логи в формате FQDN:

HQ-SRV2 | BR-SRV | HQ-CLI | BR-CLI | HQ-SW1 | BR-SW1 | BR-SW2:

Настраиваем клиентскую часть для отправги лог-сообщений на HQ-SRV1

• Устанавливаем rsyslog:

apt-get install rsyslog-classic -y

• Вносим следующие изменения в конфигурационный файл /etc/rsyslog.d/01_remote_server.conf:

vim /etc/rsyslog.d/01_remote_server.conf

• • где:
    • 192.168.100.1 - адрес HQ-SRV1

• Включаем и добавляем в автозагрузку службу rsyslogd:

systemctl enable --now rsyslogd

Аналогично на всех остальных устройствах

Для проверки работоспособности, можно разрешить systemd-journal - пересыдать логи в rsyslog - добавив параметр ForwardToSyslog=yes в файл /etc/systemd/joutnald.conf, после чего необходимо перезагрузить службу systemd-journald

HQ-SRV1:

Реализуем ротацию логов

• Создаём конфигурационный файл /etc/logrotate.d/rsyslog.conf:

vim /etc/logrotate.d/rsyslog.conf

• • содержимое:
    • Эти настройки означают, что ротация журналов будет выполняться каждую неделю (weekly)
    • Минимальный размер для ротации - 100 мегабайт (size 100M), ротация не будет выполнена, если лог не занимает более 100 мегабайт
    • Будет использоваться сжатие, для всех журналов (compress)

• Проверить как работает конфигурация:
  • для этого запустим утилиту logrotate с опцией -d 
    • она выведет все, что планируется сделать, но не будет изменять файлы на диске

Поскольку размер меньше 100МБ - то на данный момент ничего не пройзойдёт, что и сказано в выводе данной команды