S-Part. 10 Log서버와 클라이언트 구축하기(rsyslog, loganalyzer) - [인스테도뷰]

구축환경

CentOS 7.6 Minimal - (www.centos.org)

VirtualBox 7.0 - (www.virtualbox.org)

Log 서버

Log 클라이언트 

 

알고가기
Log란 말 그대로 기록이다. 특정 이벤트가 발생했을 때 기록을 남기는데, 시스템 및 사용자에 대한 분석을 하기 위함이다. 종류는 시스템 로그, 애플리케이션 로그, 커널 로그 등이 있고 심각도에 따라서 0-7단계까지 구분하여 기록한다. 
Emergency: 가장 높은 심각도
Debug: 가장 낮은 심각도
예를 들어 4단계인 Warning을 기본 로그 기록 단계로 설정한다면, 4단계까지의 이벤트에 대해서만 기록하게 되는 것이다. 

---

서버/클라이언트 모두

yum install -y rsyslog rsyslog-doc → rsyslog 설치

systemctl start rsyslog && systemctl enable rsyslog → rsyslog 시작

---

서버

 

내 서버 머신 기준 15, 16, 19, 20번 주석(#) 제거

☞ TCP/UDP 514번 포트로 로그를 수신할 모듈을 로드 하는 것(TCP, UDP 둘 중 하나만 해도 된다.)

wq! → 저장 후 나오기

systemctl restart rsyslog → rsyslog 재시작

firewall-cmd --permanent --add-port=514/tcp → 514/tcp 포트 허용

firewall-cmd --permanent --add-port=514/udp → 514/udp 포트 허용

firewall-cmd --reload → 재시작

 

---

클라이언트

vi /etc/rsyslog.conf → 파일 수정모드 진입

:set nu→ 넘버링

90번 주석 해제 후 *.* @@서버IP주소:514 로 수정

92번 *.* @서버IP주소:514 추가

 

★ 90번과 92번에서 @의 의미

@@ : udp 이용

@: tcp 이용

 

wq! → 저장 후 나오기

systemctl restart rsyslog → rsyslog 재시작

---

서버

①

yum install -y net-tools → net-tools 설치

netstat -a → 이 명령어로 모든 네트워크 정보를 확인 할 수 있다.

 

netstat -natpl | grep 514 → 514번 포트의 네트워크 정보를 확인할 수 있다. 

현재는 우리가 rsyslog를 모두 514번으로 지정해두었기 때문에 모자이크한 부분은 각각 서버, 클라이언트이다. 잘 연결된 것을 볼 수 있다. 

 

②

yum install -y lsof → lsof 설치

lsof -i tcp:514 → 514/tcp 포트의 현재 상태 확인

밑줄을 보면 현재 모자이크 처리된 부분이 클라이언트IP주소다. 연결이 잘 되었다는 것을 볼 수 있다.

---

실시간 작업유무 테스트

서버

 

tail -f /var/log/messages → tail 즉 꼬리 밟기를 하겠다는 뜻이다. 실시간으로 작업유무를 볼 수 있다. 

클라이언트에서 몇가지 명령어들을 실행해보고 로그서버에서 기록들을 받아오는지 확인하자. 

 

클라이언트

간단하게 ssh 데몬을 멈췄다가 시작해봤다. 이제 다시 서버로 가서 기록을 받아오는지 확인할 차례다.

 

서버

로그가 실시간으로 잘 반영되는 것을 확인할 수 있었다. ssh 데몬을 멈춤과 시작 모두 잘 받아오는 중. 

tail모드가 실행 중일 때는 실시간으로 로그를 계속 받아오기 때문에 그만 보고싶다면 ctrl + c 를 눌러서 빠져나오면 된다. 

 

 

또한 서버에서 vi /var/log/messages 명령어로 파일에 들어가면 실시간이 아닌 '저장된' 로그들을 열람할 수 있다. 

---

이번 포스팅은 여기서 마쳐야겠다. 

다음에 언젠가는 로그와 관련된 loganalyzer을 포스팅할텐데 아마 오늘 포스팅과 거의 비슷할거 같다.