CentOS8 로그 서버 구축

리눅스 운영체제는 시스템에서 다양하게 발생하는 대부분의 사건들을 여러가지 방법으로 로그에 기록하기 때문에 무슨 문제가 발생했는지 로그를 분석해서 문제해결이 가능하다.

대부분의 로그는 /var/log 디렉토리 안에서 존재 

---

로그의 종류

시스템 로그

1. 인증로그
- 사용자 인증 과정에서 발생하는 로그
- /var/log/secure 에 저장
- 이 로그 정보를 통해 사용자의 로그인 정보 확인

2. 데몬로그
- 데몬 : 관리자의 간섭 없이 백그라운드에서 실행되는 프로그램 -> 시스템의 항상성에 영향을 미침 
- /var/log/daemon.log에 기록 

3. 커널 로그
_ 리눅스 커널이 발생시킨 로그 기록
- /var/log/kern , /var/log/dmesg 

4. 시스템 로그
- 리눅스 시스템에서 발생하는 대부분의 로그 기록 
- /var/log/messages 

 

애플리케이션 로그

- 특정 애플리케이션이 발생시킨 로그로 /var/log 디렉토리에 하위 디렉토리를 만들어서 로그 파일을 관리 

 

바이너리 로그

- 사용자가 직접 파일을 읽지 모사고 특정 명령어 사용해야만 읽을 수 있는 바이너리 로그 

 

---

Rsyslog 로그 서버 

- syslog를 대체하기 위해 지원된 프로그램 
- 호스트간 로그 전송을 udp 및 tcp로 지원
- 필터링 가능 
- sql 데이터 베이스를 이용한 로그 저장기능 , tls 암호화 기능 

 

---

보통 centos8에는 디폴트로 rsyslog가 세팅되어 있다 

1. 서버쪽
ip : 192.168.126.131

systemctl status rsyslog

작동 확인

nano /etc/rsyslog.conf

해당 주석 제거 밑에 tcp도 필요하면 제거

firewall-cmd  --add-port=514/tcp  --zone=public  --permanent

firewall-cmd --reload

systemctl enable rsyslog

systemctl restart rsyslog

netstat -pnltu

포트 514 확인 

서버에서 주기적인 로그 확인
tail -f /var/log/messages

2. 클라이언트 쪽

상태확인 

 systemctl status rsyslog

nano /etc/rsyslog.conf 

마지막 줄에 로그를 보낼 원격 log 서버 주소를 기입 후 저장 

firewall-cmd  --add-port=514/tcp  --zone=public  --permanent

firewall-cmd --reload

systemctl restart rsyslog

systemctl enable rsyslog

 

---

세팅이 끝났으니 제대로 로그가 넘어가는지 확인해보자! 

클라이언트 쪽에서 

logger "Hello guys! This is our first log" 명령어를 치면 서버 쪽으로 로그가 넘어갈 것이다 

서버쪽에 로그가 날아간 것을 확인