Cómo configurar el registro remoto con Rsyslog en Debian 12

Rsyslog es un demonio de sistema de registro de código abierto que se utiliza para recopilar, filtrar, almacenar y reenviar mensajes de registro de sistemas operativos y aplicaciones. Es un sistema de registro potente y flexible que admite múltiples protocolos, incluidos TCP, UDP y RELP (Protocolo de Registro de Eventos Fiable). Puedes usar Rsyslog para centralizar los registros de tus servidores, aplicaciones y bases de datos.

Esta guía te mostrará cómo instalar rsyslog y configurar el registro remoto en el servidor Debian 12. También configurarás un servidor Linux para enviar registros de forma remota al servidor Rsyslog.

Requisitos previos

Para comenzar con esta guía, necesitas lo siguiente:

• Un servidor Debian 12
• Un usuario no root con privilegios de administrador
• Una máquina Linux como cliente para pruebas

Instalando Rsyslog

Antes de comenzar, necesitas instalar Rsyslog en tu servidor Debian. En este paso, instalarás Rsyslog a través de APT, luego iniciarás y habilitarás el servicio Rsyslog.

Primero, ejecuta el siguiente comando para actualizar el índice de paquetes de Debian e instalar Rsyslog en tu sistema. Ingresa ‘ Y ‘ para confirmar la instalación.

sudo apt update  
sudo apt install rsyslog

Después de que la instalación haya terminado, ejecuta el comando ‘ systemctl ‘ a continuación para iniciar y habilitar el servidor ‘ rsyslog ‘. Luego, verifica para asegurarte de que esté en funcionamiento.

sudo systemctl enable --now rsyslog  
sudo systemctl status rsyslog

En la salida siguiente, puedes ver que Rsyslog está en funcionamiento y habilitado.

Configurando UFW (Firewall poco complicado)

Después de que Rsyslog esté instalado, instalarás y configurarás UFW (Firewall poco complicado). Abrirás el puerto ‘22’ para el servicio OpenSSH y el puerto ‘514’ para Rsyslog. Y luego iniciarás y habilitarás el servicio UFW.

Para instalar UFW, ejecuta el siguiente comando ‘ apt ‘. Ingresa ‘ Y ‘ para confirmar la instalación.

sudo apt install ufw

Después de que la instalación haya terminado, ejecuta el siguiente comando ‘ufw’ para habilitar el perfil ‘ OpenSSH ‘ y permitir el acceso al puerto ‘514’. El perfil ‘ OpenSSH ‘ permitirá el acceso SSH y el puerto ‘ 514 ‘ es el puerto syslog.

sudo ufw allow OpenSSH  
sudo ufw allow 514

Ahora inicia y habilita UFW con el comando a continuación. Escribe ‘ y ‘ para confirmar y obtendrás una salida como ‘ El firewall está activo y habilitado al inicio del sistema ‘.

sudo ufw enable

Por último, verifica el estado de UFW con el siguiente comando.

sudo ufw status

En la salida a continuación, puedes ver UFW con el estado activo, perfil OpenSSH y puerto ‘ 514 ‘ habilitado.

Rsyslog para recibir registros de servidores remotos

Ahora que has instalado Rsyslog y configurado UFW, estás listo para configurar Rsyslog para recibir registros de servidores remotos. Para lograr esto, necesitas modificar el archivo ‘/etc/rsyslog.conf’ y configurar:

1. Habilitar el módulo ‘ imudp ‘ para recibir registros de servidores remotos a través de UDP
2. Opcional, habilitar el ‘ imtcp ‘ para recibir registros a través de TCP
3. Habilitar la opción ‘ AllowedSender ‘ para permitir que subredes específicas envíen registros de forma remota
4. Agregar una plantilla personalizada para Rsyslog
5. Verificar la configuración de Rsyslog
6. Iniciar, habilitar y verificar el servicio Rsyslog

Comencemos.

Primero, edita el archivo ‘ /etc/rsyslog.conf ‘ usando el siguiente editor ‘ nano ‘.

sudo nano /etc/rsyslog.conf

Descomenta las siguientes líneas para habilitar el módulo ‘ imudp ‘ y habilitar el syslog para registrar en el servidor Rsyslog.

# proporciona recepción de syslog UDP  
module(load="imudp")  
input(type="imudp" port="514")

Además, si necesitas habilitar syslog a través de TCP, habilita el módulo ‘ imtcp ‘ como sigue:

# proporciona recepción de syslog TCP  
module(load="imtcp")  
input(type="imtcp" port="50514")

Ahora agrega la opción ‘ AllowedSender ‘ e ingresa tu subred de red que está permitida para enviar mensajes Syslog a tu servidor Rsyslog.

# $AllowedSender - especifica qué sistemas remotos están permitidos para enviar mensajes syslog a rsyslogd  
$AllowedSender UDP, 192.168.10.0/24, [::1]/128, *.howtoforge.local, db.howtoforge.local

Ingresa la siguiente configuración para establecer una plantilla para los archivos de registro de los servidores remotos. En este ejemplo, los archivos de registro de los servidores remotos se almacenarán en el directorio ‘ /var/log/servers/server-ip ‘.

# Plantilla personalizada para generar el nombre del archivo de registro dinámicamente basado en la dirección IP del cliente.  
$template RemInputLogs, "/var/log/servers/%FROMHOST-IP%/%PROGRAMNAME%.log"  
*.?RemInputLogs

Guarda el archivo y sal del editor cuando termines.

A continuación, ejecuta el comando ‘ rsyslogd ‘ a continuación para verificar la configuración de Rsyslog y asegurarte de que tengas la configuración adecuada.

rsyslogd -f /etc/rsyslog.conf -N1

Cuando no ocurran errores, ejecuta el comando ‘ systemctl ‘ a continuación para reiniciar el servicio ‘ rsyslog ‘ y aplicar tus cambios.

sudo systemctl restart rsyslog

Por último, verifica el estado del servicio ‘ rsyslog ‘ para asegurarte de que esté en funcionamiento.

sudo systemctl status rsyslog

En la salida a continuación, puedes ver que el ‘ rsyslog ‘ está en funcionamiento.

Además, verifica el puerto ‘ 514 ‘ en tu servidor para asegurarte de que Rsyslog esté en funcionamiento.

ss -tulpn | grep 514

Puedes ver a continuación que el puerto UDP ‘ 514 ‘ está siendo utilizado por Rsyslog.

Enviando registros al servidor Rsyslog

Ahora que has configurado el registro remoto con Rsyslog en tu servidor Debian, intentemos enviar registros desde el ‘ 192.168.10.41 ‘ al servidor ‘ 192.168.10.10 ‘. Para hacer esto, necesitas lo siguiente:

• Instalar el paquete Rsyslog en tu máquina
• Editar la configuración de Rsyslog y definir qué registros se enviarán al servidor Rsyslog remoto
• Opcional, configurar el búfer de cola en disco para Rsyslog

Instala el paquete ‘rsyslog’ con el comando ‘ apt ‘ a continuación. Ingresa ‘ Y ‘ para confirmar la instalación.

sudo apt install rsyslog

Ahora abre el archivo de configuración predeterminado ‘ /etc/rsyslog.conf ‘ con el editor ‘ nano ‘.

sudo nano /etc/rsyslog.conf

Agrega la siguiente configuración para enviar registros al servidor Rsyslog ‘ 192.168.10.10 ‘. En este caso, enviaremos registros de kernel, cron y autenticación al servidor Rsyslog.

# Enviar registros a un servidor syslog remoto a través de UDP  
auth,[email protected]:514  
[email protected]:514  
[email protected]:514

Ahora agrega lo siguiente para configurar un búfer de cola para Rsyslog.

# Definir Búfer de Cola en Disco en caso de que el servidor se caiga  
$ActionQueueFileName queue # define un nombre de archivo para la asistencia en disco.  
$ActionQueueMaxDiskSpace 1g # El tamaño máximo que todos los archivos de cola usarán en disco.  
$ActionQueueSaveOnShutdown on # especifica que los datos deben guardarse al apagarse  
$ActionQueueType LinkedList # mantiene los mensajes en cola en memoria, lo que hace que el proceso sea muy rápido.  
$ActionResumeRetryCount -1 # evita que rsyslog descarte mensajes al intentar reconectar si el servidor no responde,

Guarda el archivo y sal del editor.

A continuación, ejecuta el comando ‘ rsyslogd ‘ a continuación para verificar y validar tu configuración de Rsyslog.

rsyslogd -f /etc/rsyslog.conf -N1

Cuando no ocurran errores, ejecuta el comando ‘ systemctl ‘ a continuación para reiniciar Rsyslog y verificarlo para asegurarte de que esté en funcionamiento.

sudo systemctl restart rsyslogd  
sudo systemctl status rsyslogd

Puedes ver a continuación que el servicio Rsyslog está en funcionamiento y tus registros se enviarán al servidor Rsyslog en ‘ 192.168.10.10 ‘.

Verificando archivos de registro en el servidor Rsyslog

Para asegurarte de que tu Rsyslog esté funcionando, necesitas verificar el directorio de registros que has configurado en la plantilla. En este ejemplo, los archivos de registro de los servidores remotos se almacenarán en el directorio ‘ /var/log/servers ‘.

Verifica el directorio de registros ‘ /var/log/servers ‘ con el siguiente comando. Esto te mostrará el directorio de cada servidor.

ls /var/log/servers

Ahora verifica el directorio de registros de tu servidor, que se almacena en el directorio ‘ /var/log/servers/server-ip ‘. Verás que hay múltiples archivos de registro disponibles en el servidor Rsyslog.

Ahora puedes verificar los archivos de registro con el comando ‘ cat ‘ o ‘ tail ‘ para ver los detalles de los registros.

cat /var/log/servers/logfile.log  
tail -f /var/log/servers/logfile.log

Conclusión

¡Felicidades! Has completado la instalación de Rsyslog en el servidor Debian 12. También has configurado el registro remoto a través de Rsyslog y enviado el registro al servidor a través de syslog UDP. Para el siguiente paso, también puedes configurar ambos módulos de entrada TCP y UDP e integrarlos con sistemas de registro como Rsyslog o Logstash.