Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定外部syslog伺服器

貢獻者

如果您想要將稽核記錄、應用程式記錄和安全性事件記錄儲存到網格以外的位置、請使用此程序來設定外部syslog伺服器。

開始之前
  • 您將使用登入Grid Manager "支援的網頁瀏覽器"

  • 您具有「維護」或「根」存取權限。

  • 您有一部具備接收及儲存記錄檔容量的syslog伺服器。如需詳細資訊、請參閱 "外部syslog伺服器的考量"

  • 如果您計畫使用TLS或RELP/TLS、則您擁有正確的伺服器和用戶端認證。

關於這項工作

如果您想要傳送稽核資訊到外部syslog伺服器、則必須先設定外部伺服器。

將稽核資訊傳送至外部syslog伺服器、可讓您:

  • 更有效率地收集和管理稽核資訊、例如稽核訊息、應用程式記錄和安全性事件

  • 減少管理節點上的網路流量、因為稽核資訊會直接從不同的儲存節點傳輸到外部syslog伺服器、而不需要經過管理節點

    警告 當記錄傳送至外部syslog伺服器時、訊息結尾處會截短大於8192位元組的單一記錄、以符合外部syslog伺服器實作的一般限制。
    註 為了在外部syslog伺服器發生故障時、將完整資料還原的選項最大化、每個節點上最多可維護20GB的稽核記錄本機記錄(localremote.log)。
    註 如果此程序中可用的組態選項不夠靈活、無法滿足您的需求、則可使用私有 API 套用其他組態選項 audit-destinations 端點。例如、不同節點群組可以使用不同的syslog伺服器。

設定外部伺服器

存取精靈

若要開始、請存取「設定外部 Syslog 伺服器」精靈。

步驟
  1. 選擇*組態*>*監控*>*稽核與系統記錄伺服器*。

  2. 從「稽核與系統記錄伺服器」頁面、選取*「設定外部系統記錄伺服器*」。如果您先前已設定外部syslog伺服器、請選取*編輯外部syslog伺服器*。

    此時將顯示 Configure external Syslog server (配置外部系統日誌服務器)

輸入syslog資訊

您必須提供 StorageGRID 存取外部 Syslog 伺服器所需的資訊。

步驟
  1. 在嚮導的 * 輸入系統日誌 info* 步驟中,在 * 主機 * 字段中輸入外部系統日誌服務器的有效完全限定域名或 IPv4 或 IPv6 地址。

  2. 輸入外部syslog伺服器上的目的地連接埠(必須是介於1和6555之間的整數)。預設連接埠為514。

  3. 選取用於傳送稽核資訊至外部syslog伺服器的傳輸協定。

    建議使用 TLSRELP/TLS 。您必須上傳伺服器憑證、才能使用上述任一選項。使用憑證有助於保護網格與外部syslog伺服器之間的連線。如需詳細資訊、請參閱 "管理安全性憑證"

    所有的傳輸協定選項都需要外部syslog伺服器的支援和組態。您必須選擇與外部syslog伺服器相容的選項。

    註 可靠的事件記錄傳輸協定(RELP)可延伸系統記錄傳輸協定的功能、以提供可靠的事件訊息傳輸。如果您的外部syslog伺服器必須重新啟動、使用RELP有助於防止稽核資訊遺失。
  4. 選擇*繼續*。

  5. [[attach認證]如果您選取* TLS*或* RELP/TLS*、請上傳下列認證:

    • 伺服器CA憑證:一或多個用於驗證外部系統記錄伺服器的信任CA憑證(以PEEM編碼)。如果省略、則會使用預設的Grid CA憑證。您在這裡上傳的檔案可能是CA套裝組合。

    • 用戶端憑證:用於驗證外部syslog伺服器的用戶端憑證(以PEEM編碼)。

    • 用戶端私密金鑰:用戶端憑證的私密金鑰(以PEEM編碼)。

      註 如果您使用用戶端憑證、也必須使用用戶端私密金鑰。如果您提供加密的私密金鑰、也必須提供密碼。使用加密的私密金鑰並無顯著的安全效益、因為必須儲存金鑰和通關密碼;建議使用未加密的私密金鑰(若有)、以簡化操作。
      1. 選取*瀏覽*以取得您要使用的憑證或金鑰。

      2. 選取憑證檔案或金鑰檔。

      3. 選取*「Open*(開啟*)」上傳檔案。

        憑證或金鑰檔名稱旁會出現綠色勾號、通知您已成功上傳。

  6. 選擇*繼續*。

管理系統記錄內容

您可以選取要傳送至外部 Syslog 伺服器的資訊。

步驟
  1. 針對精靈的 * 管理系統記錄內容 * 步驟、選取您要傳送至外部系統記錄伺服器的每種稽核資訊類型。

    • * 傳送稽核記錄 * :傳送 StorageGRID 事件和系統活動

    • * 傳送安全性事件 * :傳送安全性事件,例如未獲授權的使用者嘗試登入或使用者以 root 身分登入

    • * 傳送應用程式記錄 * :傳送有助於疑難排解的記錄檔、包括:

      • bycast-err.log

      • bycast.log

      • jaeger.log

      • nms.log (僅限管理節點)

      • prometheus.log

      • raft.log

      • hagroups.log

  2. 使用下拉式功能表、為您要傳送的稽核資訊類別選取嚴重性和設施(訊息類型)。

    如果您選擇* Passthsthsthation*作為嚴重性和設施、則傳送至遠端syslog伺服器的資訊將會收到與登入本機節點時相同的嚴重性和設施。設定設施和嚴重性可協助您以可自訂的方式彙總記錄、以便更輕鬆地進行分析。

    註 如需 StorageGRID 軟體記錄的詳細資訊、請參閱 "軟體記錄StorageGRID"
    1. 對於*嚴重性*、如果您希望傳送至外部系統記錄的每則訊息嚴重性值與本機系統記錄中的嚴重性值相同、請選取* Passthsth*。

      對於稽核記錄、如果您選取 * Passthrough * 、嚴重性為「 info 」。

      對於安全性事件、如果您選取 * Passthrough * 、嚴重性值會由節點上的 Linux 發佈版本產生。

      對於應用程式記錄、如果您選取* Passthsthon*、則「資訊」與「通知」之間的嚴重性會因問題而異。例如、新增 NTP 伺服器並設定 HA 群組會提供「 info 」的值、而刻意停止 SSM 或 RSM 服務則會提供「 notice 」的值。

    2. 如果您不想使用傳遞值、請選取介於 0 和 7 之間的嚴重性值。

      選取的值將套用至此類型的所有訊息。當您選擇以固定值覆寫嚴重性時、會遺失不同嚴重性的相關資訊。

      嚴重性 說明

      0

      緊急:系統無法使用

      1.

      警示:必須立即採取行動

      2.

      關鍵:關鍵條件

      3.

      錯誤:錯誤情況

      4.

      警告:警告條件

      5.

      注意:正常但重要的情況

      6.

      資訊:資訊訊息

      7.

      偵錯:偵錯層級的訊息

    3. 對於* Facility 、如果您希望傳送至外部syslog的每則訊息具有與本機syslog相同的設施值、請選取 Passthsth*。

      對於稽核記錄、如果您選取 * Passthrough * 、則傳送至外部 Syslog 伺服器的設備為「 local7 」。

      對於安全事件、如果您選取* Passthsth*、則設施值會由節點上的Linux發佈套件產生。

      對於應用程式記錄、如果您選取* Passthsthsth*、則傳送至外部syslog伺服器的應用程式記錄檔具有下列設施值:

      應用程式記錄 傳遞值

      bycast.log

      使用者或精靈

      bycast-err.log

      使用者、精靈、local3或local4

      jaeger.log

      local2

      nms.log

      local3

      prometheus.log

      本地4

      raft.log

      本地5.

      hagroups.log

      local6.

    4. 如果您不想使用傳遞值、請選取介於 0 和 23 之間的醫事機構值。

      選取的值將套用至此類型的所有訊息。當您選擇以固定值覆寫設施時、將會遺失有關不同設施的資訊。

    設施 說明

    0

    KERN(核心訊息)

    1.

    使用者(使用者層級訊息)

    2.

    郵件

    3.

    精靈(系統精靈)

    4.

    驗證(安全性/授權訊息)

    5.

    系統記錄(系統記錄所產生的訊息)

    6.

    LPR(線路印表機子系統)

    7.

    新聞(網路新聞子系統)

    8.

    uucp

    9.

    cron(時鐘精靈)

    10.

    安全性(安全性/授權訊息)

    11.

    FTP

    12.

    NTP

    13.

    記錄稽核(記錄稽核)

    14

    記錄警示(記錄警示)

    15

    時鐘(時鐘精靈)

    16

    local0

    17

    local1

    18

    local2

    19

    local3

    20

    本地4

    21

    本地5.

    22

    local6.

    23

    本地化7.

  3. 選擇*繼續*。

傳送測試訊息

開始使用外部syslog伺服器之前、您應該要求網格中的所有節點都將測試訊息傳送至外部syslog伺服器。您應該使用這些測試訊息來協助驗證整個記錄收集基礎架構、然後再將資料傳送至外部syslog伺服器。

警告 請勿使用外部 Syslog 伺服器組態、除非您確認外部 Syslog 伺服器收到來自網格中每個節點的測試訊息、且訊息已如預期般處理。
步驟
  1. 如果您不想傳送測試訊息、因為您確定已正確設定外部 Syslog 伺服器、而且可以從網格中的所有節點接收稽核資訊、請選取 * 略過並完成 * 。

    此時會出現綠色橫幅、表示您的組態已成功儲存。

  2. 否則、請選取 * 傳送測試訊息 * (建議)。

    測試結果會持續顯示在頁面上、直到您停止測試為止。測試進行中時、您的稽核訊息會繼續傳送至先前設定的目的地。

  3. 如果您收到任何錯誤、請更正錯誤、然後再次選取*傳送測試訊息*。

    請參閱 "排除外部syslog伺服器的故障" 協助您解決任何錯誤。

  4. 請等到看到綠色橫幅、表示所有節點都已通過測試。

  5. 請檢查您的syslog伺服器、確定是否收到測試訊息、並按照預期處理。

    重要 如果您使用的是udp、請檢查整個記錄收集基礎架構。此udp傳輸協定不允許像其他傳輸協定一樣嚴格的錯誤偵測。
  6. 選擇*停止並結束*。

    您將返回到* Audit和syslog server*頁面。此時會出現綠色橫幅、通知您已成功儲存系統記錄伺服器組態。

    註 除非您選取包含外部syslog伺服器的目的地、否則您的「不稽核資訊」不會傳送到外部syslog伺服器。StorageGRID

選取稽核資訊目的地

您可以指定安全性事件記錄、應用程式記錄和稽核訊息記錄的傳送位置。

註 如需 StorageGRID 軟體記錄的詳細資訊、請參閱 "軟體記錄StorageGRID"
步驟
  1. 在「稽核與syslog伺服器」頁面上、從列出的選項中選取稽核資訊的目的地:

    選項 說明

    預設(管理節點/本機節點)

    稽核訊息會傳送至稽核記錄 (audit.log)在管理節點上、安全性事件記錄和應用程式記錄會儲存在產生它們的節點上(也稱為「本機節點」)。

    外部syslog伺服器

    稽核資訊會傳送至外部syslog伺服器、並儲存在本機節點上。傳送的資訊類型取決於您設定外部syslog伺服器的方式。只有在設定外部syslog伺服器之後、才會啟用此選項。

    管理節點和外部syslog伺服器

    稽核訊息會傳送至稽核記錄 (audit.log)、稽核資訊會傳送至外部 Syslog 伺服器、並儲存在本機節點上。傳送的資訊類型取決於您設定外部syslog伺服器的方式。只有在設定外部syslog伺服器之後、才會啟用此選項。

    僅限本機節點

    不會將稽核資訊傳送至管理節點或遠端syslog伺服器。稽核資訊只會儲存在產生該資訊的節點上。

    附註:StorageGRID 此功能會定期移除這些本機記錄、以釋出空間。當節點的記錄檔達到1 GB時、會儲存現有檔案、並啟動新的記錄檔。記錄檔的旋轉限制為21個檔案。建立22版記錄檔時、會刪除最舊的記錄檔。每個節點平均儲存約20 GB的記錄資料。

    註 每個本機節點上產生的稽核資訊都儲存在中 /var/local/log/localaudit.log
  2. 選擇*保存*。然後,選擇 OK 以接受對日誌目的地的更改。

  3. 如果您選擇*外部系統記錄伺服器*或*管理節點和外部系統記錄伺服器*作為稽核資訊的目的地、則會出現額外的警告。檢閱警告文字。

    重要 您必須確認外部syslog伺服器可以接收測試StorageGRID 用的資訊。
  4. 選取 * 確定 * 以確認您要變更稽核資訊的目的地。

    此時會出現綠色橫幅、通知您稽核組態已成功儲存。

    新記錄會傳送至您選取的目的地。現有記錄仍會保留在目前位置。

相關資訊

"稽核訊息總覽"