Autor: Joel Barrios Dueñas
Correo electrónico: darkshram en gmail punto com

Sitio de Red: https://www.alcancelibre.org/
Jabber ID: darkshram@jabber.org

Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1

© 1999-2016 Joel Barrios Dueñas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos.

Introducción.

Acerca de syslog.

Syslog es un estándar utilizado para la captura, el procesamiento y el trasporte de mensajes de registro del sistema —es decir las bitácoras del sistema. Es tanto un protocolo de red como a la aplicación o biblioteca compartida que sirve para procesar y enviar los mensajes de registro del sistema .

Los mensajes se etiquetan con un código de identificación de entre los siguientes: auth, authpriv, daemon, cron, ftp, lpr, kern, mail, news, syslog, user, uucp y local0 hasta local7. La etiqueta también incluye el tipo de programa que generó los mensajes, indicando también el nivel de severidad de entre los siguientes: Emergency, Alert, Critical, Error, Warning, Notice, Info y Debug.

¿Qué es Rsyslog?

Rsyslog es un eficiente y rápido sistema de procesamiento de registros de sistema. Ofrece un diseño modular de alto desempeño y niveles de seguridad apropiados. A diferencia de sus predecesores —sysklog y syslog— permite ingreso de daos desde diversas fuentes, trasformación de datos y salida de resultados hacia varios destinos. Es lo suficientemente versátil y robusto para ser utilizado en entornos empresariales y tan ligero y sencillo que permite utilizarlo también en sistemas pequeños. Permite almacenar las bitácoras en archivos de texto simple o bases de datos MySQL y PostgreSQL, utilizar otros destinos en caso de falla, transporte de syslog a través de tcp, control detallado de formatos, etiquetas de tiempo exactas, operaciones en cola de procesamiento y capacidades de filtrado en cualquier parte de los mensajes.

URL: http://www.rsyslog.com/

Equipamiento lógico necesario.

El paquete rsyslog es un componente esencial y obligatorio de cualquier distribución de GNU/Linux moderna y por tanto viene instalado de modo predeterminado y el servicio estará activo en todos los niveles de ejecución.

Activar e iniciar servicio.

CentOS 7 y Red Hat™ Enterprise Linux 7, openSUSE™ y SUSE™ Linux Enterprise 12.

Si acaso fue desactivado el servicio, ejecute lo siguiente para volver a activarlo:

Ejecute lo siguiente para iniciar el servicio por primera vez o si éste fue detenido previamente:

Ejecute lo siguiente para reiniciar el servicio y aplicar cambios a la configuración, pero interrumpiendo todas las conexiones establecidas en ese momento:

Ejecute lo siguiente para cargar los cambios en la configuración, sin interrumpir el servicio y manteniendo activas todas las conexiones establecidas:

Ejecute lo siguiente para detener el servicio:

ALDOS 1.4, CentOS 6 y Red Hat™ Enterprise Linux 6.

Si acaso fue desactivado el servicio, ejecute lo siguiente para volver a activarlo:

Ejecute lo siguiente para iniciar el servicio por primera vez o si éste fue detenido previamente:

Ejecute lo siguiente para reiniciar el servicio y aplicar cambios a la configuración, pero interrumpiendo todas las conexiones establecidas en ese momento:

Ejecute lo siguiente para cargar los cambios en la configuración, sin interrumpir el servicio y manteniendo activas todas las conexiones establecidas:

Ejecute lo siguiente para detener el servicio:

Modificaciones necesarias en el muro cortafuegos.

Sólo es necesario abrir el puerto 514 (syslog) por TCP y UDP si se va a permitir a anfitriones remotos conectarse para almacenar sus registros en el servidor.

Herramienta system-config-firewall.

Ejecute lo siguiente si utiliza el muro cortafuegos predeterminado del sistema:

Habilite el puertos 514/UDP y 514/TCP (syslog) y aplique los cambios.

Herramienta system-config-firewall habilitando el puerto 514 por TCP y UDP para Rsyslog en modo gráfico.

Herramienta system-config-firewall habilitando el puerto 514 por TCP y UDP para Rsyslog en modo texto.

Servicio iptables.

Ejecute lo siguiente:

Guarde los cambios ejecutando lo siguiente:

O bien edite el archivo /etc/sysconfig/iptables:

Añada el siguiente contenido:

Reinicie el servicio para aplicar los cambios:

FirewallD.

Ejecute lo siguiente:

Shorewall.

Edite el archivo /etc/shorewall/rules:

Añada el siguiente contenido:

Reinicie el servicio:

YaST Firewall.

Ejecute lo siguiente para iniciar el módulo de muro cortafuegos de YaST:

El la sección de reglas personalizadas, añada dos reglas para habilitar las conexiones desde la red de área local para el puerto 514 por TCP y UDP.

Reglas personalizadas del módulo firewall de YaST.

Pulse F10 para aplicar los cambios y egresar al intérprete de mandatos.

SELinux y rsyslog en CentOS y Red Hat™ Enterprise Linux.

El siguiente paso se puede omitir en CentOS 7 y Red Hat™ Enterprise Linux 7. De modo predeterminado CentOS y Red Hat™ Enterprise Linux  SELinux viene activo en modo obligatorio (enforcing). Éste añade seguridad y protección adicional.

Desactivar por completo SELinux en un sistema operativo para servidores —en lugar de intentar aprender a utilizarlo— puede considerarse algo absolutamente irresponsable y negligente e invariablemente denotará una completa ignorancia de parte del administrador de sistemas respecto de aspectos de seguridad fundamentales en CentOS y Red Hat™ Enterprise Linux.

Ejecute lo siguiente —sólo en el servidor— para añadir el contexto syslogd_port_t a las conexiones UDP a través del puerto 514.

Procedimientos.

Configuración del servidor.

Archivo /etc/rsyslog.conf.

Edite el archivo /etc/rsyslog.conf:

Localice lo siguiente alrededor de las líneas 12 y 18:

Habilite las líneas resaltadas eliminado las almohadillas:

Guarde los cambios y salga del editor de texto.

Reinicie el servicio para aplicar los cambios.

Con la configuración realizadas hasta aquí, todos los mensajes de registro de los anfitriones remotos se almacenarán en los mismos archivos de registros que el anfitrión local.

Almacenamiento de registros en directorios por anfitrión.

De modo opcional puede modificar la configuración para generar automáticamente un directorio específico para cada anfitrión remoto.

Edite de nuevo el archivo /etc/rsyslog.conf:

Añada lo siguiente al inicio de la sección de reglas —alrededor de la línea 34:

Guarde los cambios y salga del editor de texto.

Genere el directorio /var/log/rsyslog

Reinicie el servicio para aplicar los cambios.

Almacenamiento de registros en MySQL™ o MariaDB™.

Conviene utilizar un motor de base de datos si la cantidad de datos gestionados en los mensajes de registro es muy grande. El siguiente procedimiento requiere omitir la sección anterior y que esté activo, configurado y funcionado MySQL™ o MariaDB™.

Ejecute lo siguiente para instalar el paquete con el módulo de rsyslog para conexión a MySQL™/MariaDB™ en CentOS y Red Hat™ Enterprise Linux:

Ejecute lo siguiente para instalar el paquete con el módulo de rsyslog para conexión a MySQL™/MariaDB™ en SUSE™ Linux Enterprise:

Ejecute lo siguiente en CentOS y Red Hat™ Enterprise Linux para crear la base de datos denominada Syslog con todas las tablas necesarias —se solicitará la contraseña de root:

Ejecute lo siguiente en SUSE™ Linux Enterprise para crear la base de datos denominada Syslog con todas las tablas necesarias —se solicitará la contraseña de root:

Acceda al intérprete de mandatos de MySQL™/MariaDB™ —se solicitará la contraseña de root:

Ejecute lo siguiente para configurar los permisos de acceso, usuario y contraseña de la base de datos Syslog:

Edite de nuevo el archivo /etc/rsyslog.conf:

Añada lo siguiente antes de la sección GLOBAL DIRECTIVES —alrededor de la línea 20:

Lo anterior carga el módulo de conexión a MySQL™/MariaDB™, especifica que todas los tipos de registro se almacenará en una base de datos en el anfitrión local, en la base de datos Syslog, usando el usuario Syslog y la contraseña que especificó unos pasos arriba, desde el anfitrión local y desde los anfitriones de los segmentos de red 172.16.1.0/28 y 10.0.1.0/29.

Guarde los cambios y salga del editor de texto.

Reinicie el servicio para aplicar los cambios.

Configuración de los clientes.

Edite el archivo /etc/rsyslog.conf si utiliza CentOS o Red Hat™ Enterprise Linux:

Edite el archivo /etc/rsyslog.d/remote.conf si utiliza SUSE™ Linux Enterprise:

Añada lo siguiente al inicio de la sección de reglas —alrededor de la línea 34— especificando la dirección IP del servidor:

O bien especifique el nombre del servidor —si éste es resuelto por un servidor DNS.

Reinicie el servicio para aplicar los cambios.

Ejecute lo siguiente si utiliza CentOS 7, Red Hat™ Enterprise Linux 7 o SUSE™ Linux Enterprise 12:

Ejecute lo siguiente si utiliza ALDOS 1.4, CentOS 6 o Red Hat™ Enterprise Linux 6:

Utilice aplicaciones como LogAnalyzer para visualizar y hacer análisis de los mensajes de registro almacenados en la bases de datos.

Bibliografía.

• tecadmin.net/setup-centralized-logging-server-using-rsyslogd/
• sharadchhetri.com/2014/03/01/install-and-configure-rsyslog-on-rhel-6-centos-6/
• unixmen.com/install-and-configure-rsyslog-in-centos-6-4-rhel-6-4/