Merkezi Log Sunucusu Kurulumu(RSYSLOG)

-

                           Merkezi Log Sunucusu Nedir ?

       Her sunucu kendi varsayılan ayarları  gereği  kendi loglarını üretir. Bu logları kendi  bünyesinde barındırır. Barındırılan bu loglar "/var/log/" dizini altında tutulur. Sunucu sistemlerinde sadece bu şekilde log tutmak riskli bir iştir. Bunun için merkezi loglama sistemi kullanılır. Merkezi log sisteminde amac  hizmet veren sunucuların hepsinin loglarını bir merkezde toplayarak, hizme veren sunuculardan herhangi birinin başına bir iş geldiği  zaman bu toplanmış olan loglara bakarak sorun tespit edilir. Merkezde toplanan bu loglar kanunlar gereği imzalanıp yedeklenip saklanır. En bilinen merkezi log sunucusu ise Rsyslog dur.
Rsyslog varsayılan sunucu sistemlerinde gelen syslogd gelişmiş halidir. Depolanan logları rsyslog  ile encryp edebilir,  belirli veritabanlarına yazabilir, almış olduğumuz logların formatları ile istediğimiz gibi oynayabiliriz.


   Rsyslog Kurulumu

     Rsyslog, yeni kurulmuş bir Ubuntu 18.04 sisteminde varsayılan olarak yüklenir. Herhangi bir nedenle paket kurulu değilse, aşağıdakileri çalıştırarak yükleyebilirsiniz:

   "sudo  apt-get -y install rsyslog"

 bu işlemin ardından rsyslog sistemimiz de kurulmus olur.Sistemde kurulu olan rsyslog servisininin çalışıp  çalışmadığını kontrol etmek amacı ile 
"sudo  systemctl status rsyslog" komutu çalıştırılır.

 Görüldüğü  gibi servisimiz çalışıyor.Bu işlemin ardından merkezi log sunucumuzu ayarlarını yapmamız gereklir.Bu ayarlar  "rsyslog.conf" dosyası üzerinde yapabiliriz.Bunun için 

"vim /etc/rsyslog.conf" komutunu kullanabiliriz. İlk olark  logları udp  ve tcp üzerinden alacağımız için şu satırları eklememiz gerekir.

 
module(load="imudp")
input(type="imudp" port="514")module(load="imudp")
input(type="imudp" port="514")

module(load="imtcp")
input(type="imtcp" port="514")

 Bu komutları logları tcp  ve udp protokolleri yardımı  ile alacağımızı ve 514 numaralı portu kullanacağımızı belirtir.

 
$AllowedSender TCP, 127.0.0.1, 192.168.10.0/24, *.example.com


 Bu satır isteğe göre eklenir.Amac gelen loglama isteklerinin hangi ip adreslerinden geleceği yada host dosyasında tanımlı olan alan adlarından hangilerinin isteklerinin kabul edileceğini belirtir.

 
$template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
*.* ?remote-incoming-logs
& ~
Yukarıda eklemiş olduğumuz satırlar ise gelen logların nasıl tutulacağını belirtir.Burada gelen logların geldiği makinenin hostname adı ile ayrı bir klasör açılıp altından gerçekleşen olayların loglanacağını belirtir.Bu işlemlerin ardından ise servisi yeniden başlatmak gerekir. "sudo  systemctl restart rsyslogd" komutu yeterli olur.

 Bu işlemleri yaptıktan sonra aşağıdaki komutu çalıştırıp rsyslog servisinin portları dinleyip dinlemeğini kontrol edelim.
" ss -tunelp  | grep  514"

 görüldüğü  gibi rsyslog servisinin portları  dinlediğini görebiliriz.Ayrıca portları dışarıya açamamız gerekir. Bunun için ise
sudo ufw allow 514/tcp
sudo ufw allow 514/udp
Komutlarının çalıştırmak yeterli olacaktır.
Merkezi log sunucu ayarlarının tamamladıktan sonra ise client sunucumuzu konfigure etmek gerekir. Bunu için şu adımları uygulamamız gerekir.

Client sunucumuza  gene aynı şekilde kurulumu yaptıktan sonra "rsyslog.conf" dosyası üzerinden bazı ayarları yapmamız gerekecek ayarlar ise şu şekildedir.
*. * @ip-address-of-rsysog-server:514
*. * @@ip-address-of-rsysog-server:514
bu satırları eklememiz gerekir amac ise logların hangi makinete hangi portan ve hangi protokol yardımı ile gönderileceğini belirtir. İlk satırda udp protokolü  ile 514 nolu porta yollamamız gerektiğini söyler.Tcp ve Udp ikisini ayıran özellik ise başlarında bulunan @ işareti olur. Tek olduğu zaman udp protokolü kullacağını belirtir.Ayrıca ryslog sunucusunun ne zaman hangi kurallara göre çalıcağının belirtmemiz gerekir.Bunu için ise
$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1

satırlarını eklememiz yeterli olacaktır.Bu işlemlerin ardından rsyslog servisimizi yeniden başlatalım.Bu işlemlerin ardından merkezi log sunucumuzda /var/log dizini altına gidip dizinleri ve dosyaları  listeleyelim.



listelme işleminin ardından iki tane "akocak-linux" ve "mustafa-linux" adında dizin oluşturuldu bunlardan akocak-linux client sunucumuza ait olan logları tutar, mustafa-linux dizini ise kendi loglarını tekrar bu dizin içerisinde tutar çünkü ayar dosyasında kendi loglarımızıda kendimize yonlendirmiştik.Bu işlemlerin ardından logları kontrol etmek için "tail -f akocak-linux/sshd.log" komutunu çalıştıralım.

Görüldüğü  gibi  akocak-linux hostunda bulunan sshd  logları merkezi log sunucumuza yönlendirmiş olduk.



Merkezi log sunucusu kurlumu ile ilgili anlatacaklarım bu kadat bir daha ki yazıda görüşmek dileğiyle.



Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

İntellij Ide Kurulumu Maven kullanımı

-
Resim
Intellij IDEA ? IntelliJ IDEA, JetBrains isimli bir şirketin geliştirdiği ve sattığı bir IDE.Java ile yazılmış pekçok frameworke desteği var. Java dışında HTML5, JavaScript, PHP, Ruby, Pyhton Groovy ve daha farklı dilleri de destekler. Intellij IDAE kurulumu (ubuntu):    Terminal(ctrl-alt-t) ekranında şu komutlar ile kurulum yapılabilir. sudo apt-add-repository ppa:mmk2410/intellij-idea # ide repolarını ekleme sudo apt-get update # repoları güncelleme sudo apt-get install intellij-idea-community # kurulum komutu Intellij ide için eclipse keymap kullanmak için file/setting/keymap ekranından “eclipse” keymap  seçilip ardından “apply” seçeneği ile değişiklikleri uygularız. JVM nedir? Jvm(java virtual machine) java yazdığımı bir kodu baska bilgisayarlarda yada sistemlerde çalıştırmak isteriz.Ancak tüm sistemlerin mimari aynı olmadığı için sıkıntılar yaşanır.İşte tam bu arada devreye jvm girer.Jvm java  yazdığımız kodları bytecode cevirir.Ardından çalıştırılma
Devamı

Vlan nedir ? Hp switchlerde Vlan yapısı ve Bazı network terimleri

-
Resim
Lan nedir ? Lan aynı bolgede binada yada aynı odada bulunanan cihazların birbirleri ile haberlesme ortamınan lan denir.Maksimum kapasitesi 7 kmdir.Ornegin bir yazıcı yada herhangi bir fiziksel cihaza birden fazla bilgsayarın ulasabilmesi olayıdır. Vlan(Sanal ağ) nedir ? Bir lan uzerindenki cihazların gruplandırılması ve switchlere atanması ile olur OSI katman layer 2 de çalışır. Bu yüzden her broadcast paketini  tum ağa yayar.Bu broadcastler ne kadar artarsa o kadar bant genişliği artar.Yani  broadcast trafiğini azaltmak için vlan kullanılır. Tagged Untagged nedir? Eğer bir switche baska bir switch yada aynı switch  üzerinde ki baska vlan arasında haberleştimek istiyorsak switch ayarlar menusunde o portu kullacak vlan yada switch baglı oldugu portun özelliğini tagged yapmak gerekir. Eğer baska desktop  bir makine yada bir aygıt bağlanacak  ise  bağlı olacak olan portu  untagged olarak ayarlamak gerekir. Collison Domain ? Bİr hub düşünelim ve buna bağlı 5 tane
Devamı

Ubuntu Server Ldap Kurulumu

-
   Merhabalar bugün konumuz ubuntu server üzerine ldap kurulumu olacak.İlk olarak ldap  nedir ona bir bakalım.Ldap Lightweight Directory Access Protocol veya kısaca LDAP TCP/IP üzerinde çalışan indeks servislerini sorgulama ve değiştirme amacıyla kullanılan uygulama katmanı protokolü. Bu protokol, OpenLDAP, Sun Directory Server, Microsoft Active Directory gibi indeks sunucuları tarafından kullanılmaktadır. Bir istemci LDAP oturumunu sunucuya bir istekte bulunarak başlatır (varsayılan olarak TCP port 389 üzerinden). İstemci sunucuya bir işlem isteği gönderir ve sunucu da bunu yanıtlar.İstisnalar dışında istemci sonraki istek için beklemek zorunda değildir ve sunucu da yanıtları herhangi bir sırada gönderebilir. LDAP protokol işlemleri şunlardan oluşur: Bind - authenticate (bağlanma - kimlik kanıtlama) Güvenli bağlantı için TLS başlatma (LDAPv3 kullanarak) Arama Karşılaştırma Ekleme Silme Değiştirme DN değiştirme - taşıma veya yeniden isimlendirme Unbind -
Devamı