在这个有趣的教程中,我们将学习如何设置 覆盆子皮使用 覆盆子皮还有一些免费的开源软件包。它只需要几分钟,而且非常有用!

Syslog是系统日志协议(System Logging Protocol)的缩写。计算机系统使用此协议将本地事件日志发送到中央日志服务器。在大型企业中,可以有多个syslog服务器,它们都聚合为一个中央服务器。Syslog在路由器、防火墙和交换机等网络设备中非常常见。但是大多数服务器也支持syslog机制。

设立 覆盆子皮系统日志服务器

有很多类型的系统日志服务器可用。它们包括难以置信的复杂和付费系统,如LogLogic和Splunk。就像复杂的免费系统日志系统一样,如Graylog和Logstash。但是我们希望在这个项目中简单!所以我们将使用简单和免费的系统日志rsyslog软件

本教程的部件列表

这里有一个方便的零件清单,如果你还没有 覆盆子皮.这些链接不需要你任何费用,但如果你使用他们,我们赚取很小的佣金。非常感谢您的支持!

在本教程中,我们使用了 覆盆子皮4套,但甚至是旧的 覆盆子皮gen 2将为该项目工作。

得到 覆盆子皮系统日志服务器就绪

在安装syslog服务器软件之前,更新 覆盆子皮操作系统的最新版本。99%的问题,我们看到的人遵循我们的教程是过时的Raspbian。

要将Raspbian更新为最新版本,我们需要运行以下命令:

sudo apt更新sudo apt升级

一旦你的 覆盆子皮是最新的安装rsyslog的时间,并且它只是一个命令。如果您收到一条消息说它已经安装,那么您的好!Raspbian的某些版本默认情况下已经包含此包。

sudoapt安装rsyslog

配置RSYSLOG 覆盆子皮

下一步是建立我们的 覆盆子皮Syslog服务器将rsyslog配置为接受来自外部计算机、服务器或设备的日志。默认情况下,它只接受本地日志。

大多数系统都希望系统日志服务在上列出端口514。我们将设置使用此端口,但您当然可以选择您喜欢的任何打开的端口。让我们打开rsyslog配置文件“rsyslog.conf”进行编辑。

sudo nano /etc/rsyslog.conf

您需要在该文件中搜索4行,并从该行的开头删除#。前面带#的行被“注释掉”,并且被rsyslog忽略。

#模块(load=“imudp”)#输入(type=“imudp”port=“514”)#模块(load=“imtcp”)#输入(type=“imtcp”port=“514”)

简单地说,这些行应该如下所示:

Module (load="imudp") input(type="imudp" port="514") Module (load="imtcp") input(type="imtcp" port="514")

这使rsyslog能够开始侦听UDP和TCP端口514并接受外部数据。

保存文件按[key]CTRL+X[/key],然后按[key]Y[/key]和[key]ENTER[/key]。

设置Raspbian RSYSLOG模板

为了使用我们新的rsyslog服务器,我们需要设置一个模板(至少一个)。模板告诉rsyslog在哪个文件中放置它接收到的日志数据,以及它将采用什么格式。

在本例中,我们将从防火墙收集日志。因此,我们将命名配置文件GeekPubFirewallLog.conf。在此文件中,我们将定义模板和日志文件位置。

执行如下命令:

sudo nano/etc/syslog.d/geekpubufirewalllog.conf

要指定模板,我们需要使用以下配置行:$template NameForTemplate,“DirectoryWhereLogIs/logName.log”。在本例中,我们将在配置中输入以下内容:

$template GPFirewallLog,“/var/log/GPFirewall.log

我们只需要再添加一行配置,就可以接受来自防火墙的日志。在我们的示例中,防火墙的IP地址为192.168.0.1。只需在示例中交换您的IP地址。

如果$fromhost ip以“192.168.0.1”启动,则-?GPFirewallLog&;stop

有了这些行,rsyslog知道任何来自192.168.0.1的日志都应该使用GPFirewallLog模板(因此存储在/var/log/GPFirewall.log文件中)。

完成后,GeekPubFirewallLog.conf文件应如下所示:

$template GPFirewallLog,“/var/log/GPFirewall.log如果主机ip启动$192.168.0.1”,则-?GPFirewallLog&;stop

按[key]CTRL+X[/key]保存文件,然后按[key]Y[/key],然后按[key]ENTER[/key]。

重启RSYSLOG服务(或Reboot)

现在是时候让你的 覆盆子皮Syslog服务器正在运行并使用您的新模板。你可以重新启动你的 覆盆子皮使用以下命令:

sudo重启

或者使用此命令重新启动rsyslog服务,而不重新启动:

sudo systemctl重新启动rsyslog

开始使用你的 覆盆子皮系统日志服务器

现在我们可以开始使用我们的 覆盆子皮Syslog服务器。在我们的pfSense防火墙中,我们只需要告诉它将日志发送到新服务器!

在“状态- >系统日志- >设置”中,需要输入服务器的IP地址和端口号 覆盆子皮Syslog服务器。在我们的例子中,它将是192.168.0.10和端口514(我们在上面选择)。

日志文件将立即开始出现在我们的/var/Log/GPFirewall.Log文件中!

当然,您可以通过将支持远程日志记录的任何服务器或设备配置为将日志发送到服务器的IP/端口,从而从该服务器或设备发送日志 覆盆子皮!

寻求帮助

我们努力回答任何问题,并帮助您解决问题。在下面留下评论,我们的团队和优秀社区将参与进来!