Install dan Konfigurasi Rsyslog di Centos (Centralized Logging Server)

Install dan Konfigurasi Rsyslog di Centos - Membangun sebuah server sudah menjadi pekerjaan seorang system admin. Bayangkan jika seorang system admin yang memanage banyak server harus memeriksa log untuk mengidentifikasi masalah pada service yang dijalankan. Pasti sangat melelahkan bukan jika harus melakukan remote satu persatu? Untuk itu kita memerlukan sebuah aplikasi yang dapat melakukan sentralisasi log pada suatu server.

Baca Juga :

Cara mengaktifkan Iptables Service pada Centos 7

Konfigurasi Unbound sebagai DNS Cache Recursive

Install LAMP Stack Centos 7

Pada kesempatan kali saya akan menjelaskan salah satu tools pada system operasi linux yang mampu melakukan sentralisasi log pada suatu server. Yups, rsyslog merupakan salah satunya. Percobaan kali ini saya akan menggunakan Centos 7.1 dan Centos 6.5.

Centos 7.1 - Server Rsyslog

Hostname : dmz1.centz7-zone.net

IP : 10.10.7.3/27

Centos 6.5 - Client

Hostname : ns1.centz6-zone.net

IP : 10.10.7.30/27

Oke sobat, sebelum kita mulai pastikan repo pada server anda sudah terupdate. Pada konfirugasi ini akan kita bagi menjadi 2 tahap yaitu A. Server dan B. Client.

A. Rsyslog Server

[root@dmz1 ~]# yum install rsyslog

Backup konfigurasi file rsyslog.

[root@dmz1 /]# cp /etc/rsyslog.conf /etc/rsyslog.conf.ori

Selanjutnya rubah file konfigurasi rsyslog.conf menjadi seperti di bawah ini.

$ModLoad imuxsock
$ModLoad imjournal

$ModLoad imudp
$UDPServerRun 514

$ModLoad imtcp
$InputTCPServerRun 514

$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state

*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log

Jika sudah, tambahakan script dibawah ini pada akhir konfigurasi rsyslog.conf. Script ini akan mengatur bagaimana log tersebut disimpan.

$template TmplAuth, "/var/log/rsyslogDB/%HOSTNAME%/%PROGRAMNAME%.log"

$template TmplMsg, "/var/log/rsyslogDB/%HOSTNAME%/%PROGRAMNAME%.log"

authpriv.* ?TmplAuth
*.info;mail.none;authpriv.none;cron.none ?TmplMsg

Karena format template log akan disimpan pada direktori "rsyslogDB" di "/var/log/" maka kita perlu membuat direktori tersebut.

[root@dmz1 /]# mkdir /var/log/rsyslogDB

Selanjutnya restart service rsyslognya.

[root@dmz1 /]# systemctl restart rsyslog

Jika tidak ada error, maka pada direktori rsyslogDB akan ada log yang tersimpan.

Tambahkan rule pada firewall untuk accept port syslog.

[root@dmz1 /]# iptables -A INPUT -p udp --dport 514 -j ACCEPT
[root@dmz1 /]# iptables -A INPUT -p tcp --dport 514 -j ACCEPT

Nah, konfigurasi pada sisi server sudah selesai.

B. Rsyslog Client

[root@ns1 ~]# yum install rsyslog

Backup file konfigurasi rsyslog.

[root@ns1 ~]# cp /etc/rsyslog.conf /etc/rsyslog.conf.ori

Selanjutnya rubah konfigurasi file rsyslog.conf seperti di bawah ini.

$ModLoad imuxsock
$ModLoad imklog

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf

*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* /var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log

Karena kita akan mengirimkan log (remote) pada server rsyslog maka kita perlu menambahkan perintah di bawah ini pada baris terakhir konfigurasi rsyslog.conf.

*.* @10.10.7.3:514

Kemudian Restart service rsyslog.

[root@ns1 /]# /etc/init.d/rsyslog restart

Nah, Sampai saat ini konfigurasi disisi client sudah oke.

Uji Coba

Untuk memastikan centralized logging server, maka kita lakukan percobaan dengan merestart service sshd pada client apakah log ssh client tersimpan pada server.

Nah, sekarang anda sudah bisa melakukan management log server. Sekedar tambahan sob, karena kita menjalankan service log maka pastikan juga hardisk yang digunakan cukup. Atau bisa juga menggunakan scheduler / Cron untuk menghapus log yang sudah lama untuk mengantisipasi full hardisk.