link管理

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

操作系统日志第三方集中管理

EulerOS使用rsyslog工具来进行第三方日志管理，用户可以根据实际业务场景进行配置。

概述
配置数据库日志

设置加密传输日志

概述
使用openssl生成证书
设置基于域名校验的加密传输

欧拉操作系统使用的rsyslog是一个开源的日志管理工具，被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息。

rsyslog的守护进程可以被配置成两种环境：

一种是配置为日志收集服务器。将网络中的主机配置为“内部日志发送到另外的远程服务器”后，rsyslog守护程序可以从网络中的所有其他主机收集日志数据。
另外一个用法是可以配置为客户端，用来过滤和发送内部日志消息到本地文件夹（如/var/log）或一台可以路由到的远程rsyslog服务器上。

应用场景

应用于第三方日志集中化管理场景。

注意事项

本特性只提供rsyslog的基本配置方法，所有配置将由用户自主配置。
用户在使用rsyslog第三方日志集中管理功能前，需确保服务端和客户端的配置正确。
rsyslog日志文件管理需要使用/tmp目录所在的分区，当该分区占满后rsyslog日志服务会出现异常，/tmp目录所在分区恢复后，必须重启rsyslog恢复日志服务。
设置日志服务器时，服务器端接收的日志大小，用户需自己进行管理控制，防止日志过大占满磁盘。
非systemd服务方式启动rsyslog且用户指定pid文件时，建议对rsyslog配置$umask参数，以限制pid文件读写权限不高于0644。
rsyslog服务默认10s内重启次数限制由原先的5次变成100次。
rsyslog服务异常退出后，会每隔1s去尝试拉起服务，直到拉起服务为止。
rsyslog配置为日志服务器时，默认侦听本机所有IP地址，用户可配置侦听本机指定IP地址。UDP方式下配置方法为：input(type="imudp" port="11514" address=" X.X.X.X ")，TCP方式下配置方法为：input(type="imtcp" port="11514" address=" X.X.X.X ")。其中X.X.X.X为本机指定IP地址。

配置数据库日志

背景信息

高斯数据库支持将审计日志记录为系统日志（SYSLOG），随其他操作系统日志集中管理。

操作步骤

您需要按照如下操作步骤，将数据库审计日志记录为系统日志。

双机或集群环境下，您需要分别登录每一台服务器进行设置。

使用sopuser用户登录服务器，切换到 root 用户，然后切换到 dbuser 用户。
查看数据库的运行实例。如服务器上的数据库，拥有两个或多个运行实例，您需要分别登录它们并进行设置。

执行如下命令，查看数据库的实例：

$ cd /opt/zenith/data

$ ls -1
```
[dbuser@eSightServer /opt/zenith/data]$ ls -1
dpsDbInstance00-0-1004
dpsDbInstance01-0-1007
esightdbsvr-0-1001
managedbsvr-0-999
[dbuser@eSightServer /opt/zenith/data]$ 
```
如上述回显实例所示，当前环境共有 4 个数据库运行实例。
查看数据库运行实例的侦听端口。

以 esightdbsvr-0-1001 实例为例，运行如下命令，查看此数据库实例的侦听端口：

$ grep "LSNR_PORT" /opt/zenith/data/ esightdbsvr-0-1001 /cfg/zengine.ini
```
[dbuser@eSightServer /opt/zenith/data]$ grep "LSNR_PORT" /opt/zenith/data/esightdbsvr-0-1001/cfg/zengine.ini
LSNR_PORT = 32081
[dbuser@eSightServer /opt/zenith/data]$
```
如回显所示，此实例的侦听端口为 32081 .
登录数据库实例。

仍以 esightdbsvr-0-1001 实例为例，它的侦听端口为 32081，则运行如下命令，登录数据库实例：

$ zsql sys/密码@127.0.0.1:32081
```
[dbuser@eSightServer /opt/zenith/data]$ zsql sys/******@127.0.0.1:32081
connected.
```
执行如下SQL命令，将数据库审计日志记录为系统日志。

> ALTER SYSTEM SET AUDIT_TRAIL_MODE = SYSLOG;
```
SQL> ALTER SYSTEM SET AUDIT_TRAIL_MODE = SYSLOG;
Succeed.
SQL> EXIT
[dbuser@eSight-42 /opt/zenith/data]$
```
此配置立刻生效。

退出登录。您可以在 /var/log/localmessages 文件中，找到数据库的审计日志。

/var/log/localmessages文件仅root用户可以访问，以示例内容

UTC+08:00 2021-06-22 16:27:47.304
LENGTH: "138"
SESSIONID:[3] "175" STMTID:[0] "" USER:[7] "HOFSDB1" HOST:[12] "192.168.1.100" ACTION:[6] "LOGOUT" RETURNCODE:[8] "GS-00000" SQLTEXT:[0] ""

为例，数据库审计日志的格式为：

表6-45 审计日志格式

项目

事件发生的事件（时区及事件）

LENGTH

本行日志的长度

SESSIONID

STMTID

访问发起端地址

ACTION

RETURNCODE

SQL语句执行返回码，GS-00000表示成功，其余返回码均为错误码。

SQLTEXT

SQL语句

如果系统日志中包含敏感信息，建议使用加密传输日志。加密传输利用证书及域名来验证服务器身份并进行日志加密传输。下面，将介绍域名校验认证模式的配置方法。

为了方便描述，做如下设定：

表6-46 项目及示例取值

项目

日志收集服务器IP地址

192.168.1.100

日志收集服务器域名

logserver.esight.huawei.com

日志发送服务器IP地址

192.168.3.201

日志收集服务器域名

logclient0.esight.huawei.com

根证书（CA）

ca.crt

日志收集服务器证书

server.crt

日志收集服务器私钥

server_key.pem

日志发送服务器证书

client0.crt

日志发送服务器私钥

client0_key.pem

使用openssl生成证书

使用 ossuser 用户登录日志收集服务器，并切换到 root 用户。

执行下列命令，准备证书生成环境。

cd /root
mkdir certificate
cd certificate
mkdir -p ./demoCA/{private,newcerts} 
touch ./demoCA/index.txt
touch ./demoCA/serial
echo 01 > ./demoCA/serial
sed -i 's/\/etc\/pki\/CA/\.\/demoCA/g' /etc/pki/tls/openssl.cnf
sed -i '/^extendedKeyUsage[[:space:]]*=/d' /etc/pki/tls/openssl.cnf
sed -i '/^keyUsage =/a extendedKeyUsage = serverAuth,clientAuth' /etc/pki/tls/openssl.cnf
sed -i 's/^# copy_extensions/copy_extensions/g' /etc/pki/tls/openssl.cnf

执行如下命令，建立CA证书。

首先，生成私钥文件。

openssl genrsa -out ./demoCA/private/cakey.pem 4096

然后，生成CA证书请求文件。

openssl req -new -key ./demoCA/private/cakey.pem -out careq.csr -subj "/C=CN/ST=JiangSu/L=NanJing/O=HUAWEI/OU=eSight/CN=logca.esight.huawei.com" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN] \nsubjectAltName=DNS:logca.esight.huawei.com,IP:192.168.1.100"))

该命令中，参数“/ C =CN/ ST =JiangSu/ L =NanJing/ O =HUAWEI/ OU =eSight/ CN =logca.esight.huawei.com”的各个项目的含义为：

表6-47 命令参数的含义解释

参数

国家（Country Name）

JiangSu

州或省（State or Province Name）

NanJing

地区或市（Locality Name）

HUAWEI

组织（Organization Name）

eSight

部门（Organization Unit Name）

logca.esight.huawei.com

证书使用者的通用名称（Common Name）

请根据客户实际环境填写正确的参数。

最后，自行签发CA证书。

openssl ca -batch -selfsign -days 3650 -in careq.csr -out ./demoCA/cacert.pem -extensions v3_ca
cp ./demoCA/cacert.pem ca.crt

本步骤，生成了如下证书文件：

表6-49 CA证书文件列表

文件名

ca.crt

下面利用CA证书签发日志收集服务器证书以及日志发送服务器证书。

为日志收集服务器生成证书。

首先，生成私钥。

openssl genrsa -out server_key.pem 4096

然后，生成证书请求。

openssl req -new -key server_key.pem -out server.csr -subj "/C=CN/ST=JiangSu/L=NanJing/O=HUAWEI/OU=eSight/CN=logserver.esight.huawei.com" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN] \nsubjectAltName=DNS:logserver.esight.huawei.com,IP:192.168.1.100"))

该命令中，参数“/ C =CN/ ST =JiangSu/ L =NanJing/ O =HUAWEI/ OU =eSight/ CN =logserver.esight.huawei.com”中的内容，以及“subjectAltName= DNS: logserver.esight.huawei.com, IP: 192.168.1.100”中的内容，请按需替换以符合实际环境需要。

最后，使用步骤3中生成的CA证书签发服务器证书。

openssl ca -batch -days 3650 -in server.csr -out server.crt -extensions v3_req -config <(cat /etc/pki/tls/openssl.cnf)

本步骤，生成了如下证书文件：

表6-50 日志收集服务器证书列表

文件名

server.crt

日志收集服务器证书

server_key.pem

日志收集服务器证书对应的私钥文件

openssl genrsa -out client0_key.pem 4096

然后，生成证书请求。

openssl req -new -key client0_key.pem -out client0.csr -subj "/C=CN/ST=JiangSu/L=NanJing/O=HUAWEI/OU=eSight/CN=logclient0.esight.huawei.com" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN] \nsubjectAltName=DNS:logclient0.esight.huawei.com,IP:192.168.3.201"))

该命令中，参数“/ C =CN/ ST =JiangSu/ L =NanJing/ O =HUAWEI/ OU =eSight/ CN =logclient0.esight.huawei.com”中的内容，以及“subjectAltName= DNS: logclient0.esight.huawei.com, IP: 192.168.3.201”中的内容，请按需替换以符合实际环境需要。

此处域名和IP地址一定要填写日志发送服务器的真实主机名和IP地址，日志收集服务器将以此鉴别发送服务器的身份。

最后，使用步骤3中生成的CA证书签发服务器证书。

openssl ca -batch -days 3650 -in client0.csr -out client0.crt -extensions v3_req -config <(cat /etc/pki/tls/openssl.cnf)

到目前为止，我们得到了如下的证书文件：

表6-52 日志收集服务器证书文件列表

文件名

client0.crt

日志收集服务器的证书

client0_key.pem

日志收集服务器的证书对应的私钥文件

（可选）为更多的日志发送服务器生成证书。

如果存在多台服务器，需要分别为它们生成证书。证书的域名和IP地址一定要填写日志发送服务器的真实主机名和IP地址，日志收集服务器将以此鉴别发送服务器的身份。

保存证书文件。

请将所有生成的证书文件（crt文件和pem文件）保存到本地，并妥善保管。

设置基于域名校验的加密传输

rsyslog设置为域名校验，即校验对方的域名是否与对方提供的证书中记录的域名一致。在配置时，需要在服务端和客户端同时配置对方的域名才能相互认证成功，具体示例配置如下。

前提条件

以存在日志接收服务器和一台日志发送服务器为例，需存在如下证书文件：

表6-54 需事先准备的证书文件列表

文件名
ca.crt
server.crt	日志接收服务器证书
server_key.pem	日志接收服务器证书对应的私钥文件
client0.crt	日志接收服务器的证书
client0_key.pem	日志接收服务器的证书对应的私钥文件日志收集服务器配置创建日志存储目录。执行如下命令，创建日志目录： mkdir -p /var/log/syslog chown root:root /var/log/syslog chmod 700 /var/log/syslog 配置证书文件。首先，创建证书存储目录： mkdir /root/certificate 然后，将CA证书ca.crt、日志收集服务器证书server.crt和私钥server_key.pem放置到该目录下；最后，赋予权限 chmod 700 /root/certificate chmod 400 /root/certificate/. rsyslog 目前不支持加密的私钥文件，请确保私钥文件的属主是root用户，且权限为只读。配置域名与IP的解析关系。请在 /etc/hosts 文件中，配置主机名与IP地址的对应关系，如： 192.168.1.100 logserver.esight.huawei.com 192.168.3.201 logclient0.esight.huawei.com 配置日志服务。请创建 /etc/rsyslog.d/remote.conf，将如下内容写入其中： #加载gtls驱动，用于实现tls加密 $DefaultNetstreamDriver gtls #设置CA证书路径,用户可自定义配置路径 $DefaultNetstreamDriverCAFile /root/certificate/ca.crt #设置服务器证书文件路径,用户可自定义配置路径 $DefaultNetstreamDriverCertFile /root/certificate/server.crt #设置服务器密钥文件路径,用户可自定义配置路径 $DefaultNetstreamDriverKeyFile /root/certificate/server_key.pem #加载TCP模块 $ModLoad imtcp #设置TCP传输模式，TLS传输必须设置为1 $InputTCPServerStreamDriverMode 1 #认证模式，此处设置为域名认证模式，InputTCPServerStreamDriverPermittedPeer对应必须设置正确的域名 $InputTCPServerStreamDriverAuthMode x509/name #允许链接的客户端域名（这个域名是指生成客户端数字证书时指定的Common Name） #如果有多个域名，请多行配置。 $InputTCPServerStreamDriverPermittedPeer logclient0.esight.huawei.com #服务端侦听端口，必须确保处于侦听状态，并不被其他进程占用，在本例中使用11514端口 $InputTCPServerRun 11514 #日志存放位置,用户可自定义日志保存路径 $template Remote,"/var/log/syslog/%fromhost-ip%/%$YEAR%-%$MONTH%-%$DAY%.log" #排除本地IP的日志记录，只记录远程日志 :fromhost-ip, !isequal, "127.0.0.1" ?Remote # 忽略配置生效之前的所有日志，远程主机日志记录完之后不再继续往下记录重新启动日志服务。运行如下命令，重新启动日志服务： systemctl restart rsyslog 日志发送服务器配置使用 ossuser 用户登录日志发送服务器，然后切换到 root 用户；配置证书文件首先，创建证书存储目录： mkdir /root/certificate_client 然后，将CA证书ca.crt、日志发送服务器证书client0.crt和私钥client0_key.pem放置到该目录下；最后，赋予权限 chmod 700 /root/certificate_client chmod 400 /root/certificate_client/. rsyslog 目前不支持加密的私钥文件，请确保私钥文件的属主是root用户，且权限为只读。配置域名与IP的解析关系配置日志服务请创建 /etc/rsyslog.d/client.conf，将如下内容写入其中： #加载gtls驱动，用于实现tls加密 $DefaultNetstreamDriver gtls #设置CA证书路径,用户可自定义配置路径 $DefaultNetstreamDriverCAFile /root/certificate_client/ca.crt #设置客户端证书文件路径,用户可自定义配置路径 $DefaultNetstreamDriverCertFile /root/certificate_client/client0.crt #设置客户端密钥文件路径,用户可自定义配置路径 $DefaultNetstreamDriverKeyFile /root/certificate_client/client0_key.pem #设置TCP传输模式，TLS传输必须设置为1 $ActionSendStreamDriverMode 1 #认证模式，此处设置为域名认证模式，InputTCPServerStreamDriverPermittedPeer对应必须设置正确的域名 $ActionSendStreamDriverAuthMode x509/name # 日志收集服务器域名 $ActionSendStreamDriverPermittedPeer logserver.esight.huawei.com #将日志都发送至IP为X.X.X.X的服务器对应端口，在本例中，对应端口为11514端口 . @@192.168.1.100:11514 #这里也支持配置IPv6的地址，格式为. @@[fe80::7ea2:3eff:XXXX:XXXX%eth0]:11514 配置文件末尾的“.”指将所有的日志都发送到日志收集服务器，其格式是：日志类型.日志级别。如果要指定发送某一类日志到日志接收服务器，可以设置为：日志类型 . 日志级别。例如,将mail的info级别日志，发送到日志接收服务器。 mail.info @X.X.X.X:11514 如果要打印多种日志到日志接收服务器，以分号隔开。例如： mail.info;cron.none @X.X.X.X:11514 重启日志服务运行如下命令，重新启动日志服务： systemctl restart rsyslog