[Centos] 로그 관리

centos 로그 관리 및 maria db로 로그 관리 하기.

개인 공부 목적입니다.

 

---

 

1. 서버에 로그 데몬이 동작중인지 확인 할 수 있다.

  : systemctl status rsyslog

 

 

2. 로그 파일 중 message 파일이 실시간 모니터링 하도록 설정할 수 있다.

 : tail -f옵션 주면됨

 

 

3. 터미널에서 서버에 접속 했을 때 messsages 파일에 로그가 발생함을 알 수 있다.

 

 

putty 로 원격 접근 아래는 실시간 모니터링

 

 

4. 터미널에서 root또는 hisecure 계정으로 잘못된 비밀번호로 로그인을 시도했을 때 기록을 서버에 있는 관련 로그 파일에서 확인 할 수 있다(모두)

: tail -f lastb btmp 

: tail -f message

 

 

5. 현재 서버의 클론을 준비하고 스냅샷을 찍는다. (IP는 본 서버와 다르게 설정, 서버이름은 rsyslogserver)

 

 

다른 ip를 가진 독립체여야 하므로 새로운 mac주소를 생성해준다.

 

 

6. UDP:514 포트를 통해 로그 서버에서 로그를 받을 수 있도록 설정 파일을 변경

:server쪽에서 변경해야함

etc/rsyslog.conf 에서 아래 빨간 네모를 변경해줘야 함.

 

 

네모박스쪽에 있던 주석들 다 지워주면 됨.

지워준 후 

#systemctl restart rsyslog

#netstat -atunp

 

 

생김

 

 

7. 로그서버에서 다른 서버들로부터 로그를 받을 수 있도록 방화벽 설정

 

#firewall-cmd --add-port=514/udp --permanent

#firewall-cmd --reload

#firewall-cmd --list-all

 

 

 

8. 로그서버에 messages파일을 실시간 모니터링 할 수 있도록 설정

 

 

9. 클라이언트 서버에 hostname 을 testclient로 변경할 수 있다.

 

 

 

10. 클라이언트에서 계정 변경(root -> hisecure) 가 일어났을 때 원격서버에 로그 발생함 보이기

 : 1. 클라이언트 측에서 rsyslog.conf에 아래 내용 추가 후 restart 한다.

 

 

  : 2. 우측이 서버, 좌측이 클라이언트. 

 

 

 

서버 : tail -f message

클라이언트 : su <계정>

 

 

---

db로 로그기록

 

1. 클라이언트 앞단계로 돌리고 다시 부팅

 

 

: 이전 스냅샷으로 돌린 후 실행

 

2. 클라이언트에 mariadb를 설치하고 패스워드 설정 후 디비 접속

 

 

3. 서버에 마리아 디비 포트 열린 것 확인 하고 방화벽에서 해당 포트를 열 수 있다.

 

 

4. rsyslog-mysql 드라이버를 설치하고, Syslog 데이터 베이스를 새로 생성할 수 있다.

 

 

 

5. rsyslog사용자를 만들고 rsyslog 를 패스워드로 설정하여 Syslog 디비에 권한을 준다.

 

 

6. rsyslog 계정으로 접속해서 Syslog디비의 테이블의 내용을 쿼리하여 보여줄 수 있다.

 

 

7. 클라이언트 서버에 mariadb와 rsyslog가 연결될 수 있도록 rsyslog를 설정 할 수 있다.

 : etc/rsyslog.conf 를 아래와 같이 수정해준다. 

화살표가 가르키는 부분은 추가적으로 기재해준다.

 

 

8. 네트워크 접속상태를 통해 rsyslog와 mariadb가 연결된 것을 확인 할 수 있다.

 

 

9.터미널에서 클라이언트에 접속한 후 6번을 수행하여데이터가 만들어 졌음을 확인 할 수 있다.

:위와 같은 명령어를 치면 (select * from <table name>) 하면 데이터가 출력됨.