操作系统日志集中管理 - eSight V300R010C00SPC200&300&500 维护指南 20

link管理

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

应用场景

需要将操作系统日志发送到一个独立的日志收集服务器上进行集中化管理。

注意事项

本章节只提供rsyslog的基本配置方法，所有配置将由用户自主配置。
用户在使用rsyslog第三方日志集中管理功能前，需确保服务端和客户端的配置正确。
rsyslog日志文件管理需要使用临时目录/tmp，当该目录所在分区空间占满后rsyslog日志服务会出现异常。/tmp目录所在分区恢复后，必须重启rsyslog恢复日志服务。

设置无加密传输日志

日志收集服务器设置

日志收集服务器作为服务端，收集其他服务器上传的日志。

配置rsyslog服务

在/etc/rsyslog.d目录下新增配置文件，配置文件的名称格式为 server.conf，增加如下配置：

# 导入tcp模块
$ModLoad imtcp
# 设置侦听端口，如11514端口
$InputTCPServerRun 11514
# 根据客户端IP单独存放在不同目录，用户可以自定义指定目录
$template Remote, "/var/log/syslog/%fromhost-ip%/%$YEAR%-%$MONTH%-%$DAY%.log"
# 排除本地IP的日志记录，只记录远程日志
:fromhost-ip, !isequal, "127.0.0.1" ?Remote
# 忽略之前的所有日志

重启rsyslog服务

执行如下命令，重启rsyslog服务。

systemctl restart rsyslog

日志发送服务器设置

日志发送服务器将日志发送给日志收集服务器。

配置rsyslog服务

在/etc/rsyslog.d目录下新增配置文件，配置文件的名称格式为*.conf，增加如下配置：

#发送到IP为X.X.X.X的服务端对应端口，在本例中，对应服务器的11514端口
*.* @@远程日志服务器IP地址:11514
#这里也支持配置IPv6的地址，格式为*.* @@[fe80::7ea2:3eff:xxxx:xxxx%eth0]:11514

上面的配置*.*是指将所有的日志都打印到服务器。其实这里的含义是： 日志类型 . 日志级别 。

如果要指定打印某一类日志到服务器，可以设置为： 日志类型 . 日志级别。 例如,将mail的info级别日志，打印到服务器。

mail.info @X.X.X.X:11514

如果要打印多种日志到服务器，以分号隔开。例如：
```
mail.info;cron.none @X.X.X.X:11514
```

重启rsyslog服务

运行如下命令，重启rsyslog服务。

systemctl restart rsyslog

如果系统日志中包含敏感信息，建议使用加密传输日志。加密传输利用证书及域名或指纹来验证服务器身份并进行日志加密传输。下面，将介绍域名校验认证模式的配置方法。

为了方便描述，做如下设定：

表8-265 项目及示例取值

项目

日志收集服务器IP地址

192.168.1.100

日志收集服务器域名

logserver.esight.huawei.com

日志发送服务器IP地址

192.168.3.201

日志收集服务器域名

logclient0.esight.huawei.com

根证书（CA）

ca.crt

日志收集服务器证书

server.crt

日志收集服务器私钥

server_key.pem

日志发送服务器证书

client0.crt

日志发送服务器私钥

client0_key.pem

使用openssl生成证书

使用 ossuser 用户登录日志收集服务器，并切换到 root 用户。

执行下列命令，准备证书生成环境。

cd /root
mkdir certificate
cd certificate
mkdir -p ./demoCA/{private,newcerts} 
touch ./demoCA/index.txt
touch ./demoCA/serial
echo 01 > ./demoCA/serial
sed -i 's/\/etc\/pki\/CA/\.\/demoCA/g' /etc/pki/tls/openssl.cnf
sed -i '/^extendedKeyUsage[[:space:]]*=/d' /etc/pki/tls/openssl.cnf
sed -i '/^keyUsage =/a extendedKeyUsage = serverAuth,clientAuth' /etc/pki/tls/openssl.cnf
sed -i 's/^# copy_extensions/copy_extensions/g' /etc/pki/tls/openssl.cnf

执行如下命令，建立CA证书。

首先，生成私钥文件

openssl genrsa -out ./demoCA/private/cakey.pem 4096

然后，生成CA证书请求文件。

openssl req -new -key ./demoCA/private/cakey.pem -out careq.csr -subj "/C=CN/ST=JiangSu/L=NanJing/O=HUAWEI/OU=eSight/CN=logca.esight.huawei.com" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN] \nsubjectAltName=DNS:logca.esight.huawei.com,IP:192.168.1.100"))

该命令中，参数“/ C =CN/ ST =JiangSu/ L =NanJing/ O =HUAWEI/ OU =eSight/ CN =logca.esight.huawei.com”的各个项目的含义为：

表8-266 命令参数的含义解释

参数

国家（Country Name）

JiangSu

州或省（State or Province Name）

NanJing

地区或市（Locality Name）

HUAWEI

组织（Organization Name）

eSight

部门（Organization Unit Name）

logca.esight.huawei.com

证书使用者的通用名称（Common Name）

请根据客户实际环境填写正确的参数。

最后，自行签发CA证书。

openssl ca -batch -selfsign -days 3650 -in careq.csr -out ./demoCA/cacert.pem -extensions v3_ca
cp ./demoCA/cacert.pem ca.crt

本步骤，生成了如下证书文件：

表8-268 CA证书文件列表

文件名

ca.crt

下面利用CA证书签发日志收集服务器证书以及日志发送服务器证书。

为日志收集服务器生成证书。

首先，生成私钥。

openssl genrsa -out server_key.pem 4096

然后，生成证书请求。

openssl req -new -key server_key.pem -out server.csr -subj "/C=CN/ST=JiangSu/L=NanJing/O=HUAWEI/OU=eSight/CN=logserver.esight.huawei.com" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN] \nsubjectAltName=DNS:logserver.esight.huawei.com,IP:192.168.1.100"))

该命令中，参数“/ C =CN/ ST =JiangSu/ L =NanJing/ O =HUAWEI/ OU =eSight/ CN =logserver.esight.huawei.com”中的内容，以及“subjectAltName= DNS: logserver.esight.huawei.com, IP: 192.168.1.100”中的内容，请按需替换以符合实际环境需要。

最后，使用步骤3中生成的CA证书签发服务器证书。

openssl ca -batch -days 3650 -in server.csr -out server.crt -extensions v3_req -config <(cat /etc/pki/tls/openssl.cnf)

本步骤，生成了如下证书文件：

表8-269 日志收集服务器证书列表

文件名

server.crt

日志收集服务器证书

server_key.pem

日志收集服务器证书对应的私钥文件

openssl genrsa -out client0_key.pem 4096

然后，生成证书请求。

openssl req -new -key client0_key.pem -out client0.csr -subj "/C=CN/ST=JiangSu/L=NanJing/O=HUAWEI/OU=eSight/CN=logclient0.esight.huawei.com" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN] \nsubjectAltName=DNS:logclient0.esight.huawei.com,IP:192.168.3.201"))

该命令中，参数“/ C =CN/ ST =JiangSu/ L =NanJing/ O =HUAWEI/ OU =eSight/ CN =logclient0.esight.huawei.com”中的内容，以及“subjectAltName= DNS: logclient0.esight.huawei.com, IP: 192.168.3.201”中的内容，请按需替换以符合实际环境需要。

此处域名和IP地址一定要填写日志发送服务器的真实主机名和IP地址，日志收集服务器将以此鉴别发送服务器的身份。

最后，使用步骤3中生成的CA证书签发服务器证书。

openssl ca -batch -days 3650 -in client0.csr -out client0.crt -extensions v3_req -config <(cat /etc/pki/tls/openssl.cnf)

到目前为止，得到了如下的证书文件：

表8-271 日志收集服务器证书文件列表

文件名

client0.crt

日志收集服务器的证书

client0_key.pem

日志收集服务器的证书对应的私钥文件

（可选）为更多的日志发送服务器生成证书

如果存在多台服务器，需要分别为它们生成证书。证书的域名和IP地址一定要填写日志发送服务器的真实主机名和IP地址，日志收集服务器将以此鉴别发送服务器的身份。

保存证书文件

请将所有生成的证书文件（crt文件和pem文件）保存到本地，并妥善保管。

设置基于域名校验的加密传输

rsyslog设置为域名校验，即校验对方的域名是否与对方提供的证书中记录的域名一致。在配置时，需要在服务端和客户端同时配置对方的域名才能相互认证成功，具体示例配置如下。

前提条件

以存在日志接收服务器和一台日志发送服务器为例，需存在如下证书文件：

表8-273 需事先准备的证书文件列表

文件名
ca.crt
server.crt	日志接收服务器证书
server_key.pem	日志接收服务器证书对应的私钥文件
client0.crt	日志接收服务器的证书
client0_key.pem	日志接收服务器的证书对应的私钥文件配置证书文件首先，创建证书存储目录： mkdir /root/certificate 然后，将CA证书ca.crt、日志收集服务器证书server.crt和私钥server_key.pem放置到该目录下；最后，赋予权限 chmod 700 /root/certificate chmod 400 /root/certificate/. rsyslog 目前不支持加密的私钥文件，请确保私钥文件的属主是root用户，且权限为只读。配置域名与IP的解析关系请在 /etc/hosts 文件中，配置主机名与IP地址的对应关系，如 192.168.1.100 logserver.esight.huawei.com 192.168.3.201 logclient0.esight.huawei.com 配置日志服务请创建 /etc/rsyslog.d/remote.conf，将如下内容写入其中： #加载gtls驱动，用于实现tls加密 $DefaultNetstreamDriver gtls #设置CA证书路径,用户可自定义配置路径 $DefaultNetstreamDriverCAFile /root/certificate/ca.crt #设置服务器证书文件路径,用户可自定义配置路径 $DefaultNetstreamDriverCertFile /root/certificate/server.crt #设置服务器密钥文件路径,用户可自定义配置路径 $DefaultNetstreamDriverKeyFile /root/certificate/server_key.pem #加载TCP模块 $ModLoad imtcp #设置TCP传输模式，TLS传输必须设置为1 $InputTCPServerStreamDriverMode 1 #认证模式，此处设置为域名认证模式，InputTCPServerStreamDriverPermittedPeer对应必须设置正确的域名 $InputTCPServerStreamDriverAuthMode x509/name #允许链接的客户端域名（这个域名是指生成客户端数字证书时指定的Common Name） #如果有多个域名，请多行配置。 $InputTCPServerStreamDriverPermittedPeer logclient0.esight.huawei.com #服务端侦听端口，必须确保处于侦听状态，并不被其他进程占用，在本例中使用11514端口 $InputTCPServerRun 11514 #日志存放位置,用户可自定义日志保存路径 $template Remote,"/var/log/syslog/%fromhost-ip%/%$YEAR%-%$MONTH%-%$DAY%.log" #排除本地IP的日志记录，只记录远程日志 :fromhost-ip, !isequal, "127.0.0.1" ?Remote # 忽略配置生效之前的所有日志，远程主机日志记录完之后不再继续往下记录重新启动日志服务运行如下命令，重新启动日志服务： systemctl restart rsyslog 日志发送服务器配置使用 ossuser 用户登录日志发送服务器，然后切换到 root 用户；配置证书文件首先，创建证书存储目录： mkdir /root/certificate_client 然后，将CA证书ca.crt、日志发送服务器证书client0.crt和私钥client0_key.pem放置到该目录下；最后，赋予权限 chmod 700 /root/certificate_client chmod 400 /root/certificate_client/. rsyslog 目前不支持加密的私钥文件，请确保私钥文件的属主是root用户，且权限为只读。配置域名与IP的解析关系配置日志服务请创建 /etc/rsyslog.d/client.conf，将如下内容写入其中： #加载gtls驱动，用于实现tls加密 $DefaultNetstreamDriver gtls #设置CA证书路径,用户可自定义配置路径 $DefaultNetstreamDriverCAFile /root/certificate_client/ca.crt #设置客户端证书文件路径,用户可自定义配置路径 $DefaultNetstreamDriverCertFile /root/certificate_client/client0.crt #设置客户端密钥文件路径,用户可自定义配置路径 $DefaultNetstreamDriverKeyFile /root/certificate_client/client0_key.pem #设置TCP传输模式，TLS传输必须设置为1 $ActionSendStreamDriverMode 1 #认证模式，此处设置为域名认证模式，InputTCPServerStreamDriverPermittedPeer对应必须设置正确的域名 $ActionSendStreamDriverAuthMode x509/name # 日志收集服务器域名 $ActionSendStreamDriverPermittedPeer logserver.esight.huawei.com #将日志都发送至IP为X.X.X.X的服务器对应端口，在本例中，对应端口为11514端口 . @@192.168.1.100:11514 #这里也支持配置IPv6的地址，格式为. @@[fe80::7ea2:3eff:XXXX:XXXX%eth0]:11514 配置文件末尾的“.”指将所有的日志都发送到日志收集服务器，其格式是：日志类型.日志级别。如果要指定发送某一类日志到日志接收服务器，可以设置为：日志类型 . 日志级别。例如,将mail的info级别日志，发送到日志接收服务器。 mail.info @X.X.X.X:11514 如果要打印多种日志到日志接收服务器，以分号隔开。例如： mail.info;cron.none @X.X.X.X:11514 重启日志服务运行如下命令，重新启动日志服务： systemctl restart rsyslog