TSSLTD

На устройстве МКСЗ Diamond VPN/FW поддерживается возможность выгрузки отдельных журналов событий (файлов) на удаленный сервер по протоколу rsyslog.

Для активации этой функции необходимо произвести предварительную настройку. Необходимо подключиться к устройству по протоколу ssh и перейти в папку назначения с помощью команды «/etc/rsyslog.d». Далее с помощью команды «nano file_name.conf» необходимо создать конфигурационный файл. В конфигурационной файле необходимо задать параметры журналирования, сетевой адрес сервера, сетевой протокол, файл с логами и другие параметры. Механизм журналирования позволяет осуществлять фильтрацию нужных событий по ключевым слом перед отправкой на центральны сервер. Ниже мы рассмотрим различные примеры конфигураций с описание задачи, которую необходимо решить.

Конфигурацию для протокола Rsyslog можно задать как в одном файле, так и в нескольких. При старте основного процесса все конфигруации из файлов будут считаны и применены.

Для задания нужной конфигурации необходимо открыть на редактирование файл с настройками с помощью команды «nano /etc/rsyslogd.d/<file_name>.conf». В конфигурационном файле задать следующие настройки.

module(load="imfile")             

global (
  workDirectory="/media/storage/logs/"
)
input(type="imfile" File="/var/log/messages" Tag="messages" ruleset="promtail")
ruleset(name="promtail"){
   if $msg contains 'eigrpd' then action (type="omfile" file="/media/storage/logs/frr_eigrp.log" Template="RSYSLOG_SyslogProtocol23Format")
   if $msg contains 'bgpd' then action (type="omfile" file="/media/storage/logs/frr_bgp.log" Template="RSYSLOG_SyslogProtocol23Format")
}

В данном примере, мы анализируем поступающую информацию из файла «/var/log/messages» и применяем к сообщениям фильтры по ключевым словам «eigrpd», «bgpd». События для ключа «eigrpd» записываются в файл «/media/storage/logs/frr_eigrp.log», для ключа «bgpd» записываются в файл «/media/storage/logs/frr_bgp.log»

Для задания нужной конфигурации необходимо открыть на редактирование файл с настройками с помощью команды «nano /etc/rsyslogd.d/<file_name>.conf». В конфигурационном файле задать следующие настройки.

module(load="imfile")             

global (
  workDirectory="/media/storage/logs/"
)
input(type="imfile" File="/var/log/messages" Tag="messages" ruleset="promtail")
ruleset(name="promtail"){
   if $msg contains 'eigrpd' then action (type="omfwd" protocol="udp" target="10.34.17.88" port="514" Template="RSYSLOG_SyslogProtocol23Format")
   if $msg contains 'bgpd' then action (type="omfwd" protocol="udp" target="10.34.17.88" port="514" Template="RSYSLOG_SyslogProtocol23Format")
}

В данном примере, мы анализируем поступающую информацию из файла «/var/log/messages» и применяем к сообщениям фильтры по ключевым словам «eigrpd», «bgpd». События для ключа «eigrpd» и «bgpd» отправляем по протоколу «udp» на удаленный сервер с сетевым адресом «10.34.17.88» на порт «514».