Cách thiết lập rsyslog để quản lý nhật ký tập trung

[theanh]

Hướng dẫn này sẽ giải thích cách thiết lập rsyslog như một máy chủ quản lý nhật ký tập trung. Quản lý nhật ký tập trung có nghĩa là thu thập mọi loại nhật ký từ nhiều máy chủ vật lý hoặc ảo hóa trên một máy chủ nhật ký để theo dõi tình trạng hoạt động và bảo mật của các dịch vụ máy chủ. Chúng tôi sử dụng rsyslog trong hướng dẫn này vì nó cung cấp hiệu suất cao, bảo mật tuyệt vời và thiết kế theo mô-đun. Nó cũng có khả năng lưu trữ nhật ký trong nhiều giải pháp cơ sở dữ liệu như MySQL, Oracle, Hadoop và các giải pháp khác để hợp nhất tốt hơn.

1. Lưu ý sơ bộ​

Đối với hướng dẫn này, tôi đang sử dụng Oracle Linux 6.4 ở phiên bản 32 bit. Xin lưu ý rằng mặc dù cấu hình được thực hiện trên Oracle Linux, các bước tương tự sẽ hoạt động trên CentOS và Red Hat OS Linux. Trong hướng dẫn này, chúng tôi sẽ sử dụng 2 máy chủ. Máy chủ đầu tiên sẽ hoạt động như máy chủ rsyslog và máy chủ còn lại sẽ hoạt động như máy trạm/máy khách cho máy khách thersyslog. Đến cuối hướng dẫn này, chúng ta sẽ thấy rằng khi người dùng đăng nhập vào máy chủ khách hàng, máy chủ thersyslog sẽ tự động ghi lại hoạt động do người dùng thực hiện.

2. Cài đặt Rsyslog​

Đối với giai đoạn cài đặt, chúng ta chỉ cần cài đặt các gói thersyslog và các gói phụ thuộc của nó. Trước tiên, hãy xác nhận phiên bản Hệ điều hành của chúng ta.

[root@RSYS01 ~]# cat /etc/issue
Oracle Linux Server bản phát hành 6.4
Kernel \r trên \m

[root@RSYS01 ~]# arch
i686

[root@RSYS01 ~]# uname -a
Linux RSYS01 2.6.32-358.el6.i686 #1 SMP Thứ sáu, ngày 22 tháng 2 năm 2013 lúc 13:37:29 PST i686 i686 i386 GNU/Linux

Tiếp theo, tôi sẽ cấu hình một kho lưu trữ mới để cài đặt các gói rsyslog thông qua tiện ích yum.

[root@RSYS01 ~]# cd /etc/yum.repos.d/
[root@RSYS01 yum.repos.d]# vi rsyslog.repo
[rsyslog-v7-devel]
name=Adiscon Rsyslog v7-devel for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-devel/epel-$releasever/$basearch
enabled=0
gpgcheck=0
protect=1

[rsyslog-v7-stable]
name=Adiscon Rsyslog v7-stable cho CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-stable/epel-$releasever/$basearch
enabled=1
gpgcheck=0
protect=1

[root@RSYS01 yum.repos.d]# yum list rsyslog
Các plugin đã tải: refresh-packagekit, security
rsyslog-v7-stable | 2,5 kB 00:00
rsyslog-v7-stable/primary_db | 188 kB 00:01
Các gói có sẵn
rsyslog.i686 7.6.7-1.el6 rsyslog-v7-stable

Xong, bây giờ chúng ta hãy bắt đầu cài đặt phiên bản mới của rsyslog. Các bước được hiển thị bên dưới:

[root@RSYS01 yum.repos.d]# yum install rsyslog -y
Các plugin đã tải: refresh-packagekit, security
Đang thiết lập quy trình cài đặt
Giải quyết các phụ thuộc
--> Đang chạy kiểm tra giao dịch
---> Gói rsyslog.i686 0:7.6.7-1.el6 sẽ được cài đặt
--> Đang xử lý phụ thuộc: liblogging-stdlog.so.0 cho gói: rsyslog-7.6.7-1.el6.i686
--> Đang xử lý phụ thuộc: libjson-c.so.2 cho gói: rsyslog-7.6.7-1.el6.i686
--> Xử lý phụ thuộc: libgthttp.so.0 cho gói: rsyslog-7.6.7-1.el6.i686
--> Xử lý phụ thuộc: libgtbase.so.0 cho gói: rsyslog-7.6.7-1.el6.i686
--> Xử lý phụ thuộc: libgt cho gói: rsyslog-7.6.7-1.el6.i686
--> Xử lý phụ thuộc: libestr.so.0 cho gói: rsyslog-7.6.7-1.el6.i686
--> Kiểm tra giao dịch đang chạy
---> Gói json-c.i686 0:0.11-3.el6 sẽ được cài đặt
---> Gói libestr.i686 0:0.1.9-1.el6 sẽ được cài đặt
---> Gói libgt.i686 0:0.3.11-1.el6 sẽ được cài đặt
---> Gói liblogging.i686 0:1.0.4-1.el6 sẽ được cài đặt
--> Hoàn tất giải quyết sự phụ thuộc 
Đã giải quyết sự phụ thuộc 
= ... Kích thước
= ... 0.3.11-1.el6 rsyslog-v7-stable 55 k
liblogging i686 1.0.4-1.el6 rsyslog-v7-stable 23 k 
Tóm tắt giao dịch
= ... json-c-0.11-3.el6.i686.rpm | 46 kB 00:00
(2/5): libestr-0.1.9-1.el6.i686.rpm | 9.0 kB 00:00
(3/5): libgt-0.3.11-1.el6.i686.rpm | 55 kB 00:00
(4/5): liblogging-1.0.4-1.el6.i686.rpm | 23 kB 00:00
(5/5): rsyslog-7.6.7-1.el6.i686.rpm | 920 kB 00:03
--------------------------------------------------------------------------------------------------------------------------------
Tổng cộng 114 kB/giây | 1.0 MB 00:09
Đang chạy rpm_check_debug
Đang chạy Kiểm tra giao dịch
Kiểm tra giao dịch thành công
Đang chạy Giao dịch
Đang cài đặt: libgt-0.3.11-1.el6.i686 1/5
Đang cài đặt: liblogging-1.0.4-1.el6.i686 2/5
Đang cài đặt: libestr-0.1.9-1.el6.i686 3/5
Đang cài đặt: json-c-0.11-3.el6.i686 4/5
Đang cài đặt: rsyslog-7.6.7-1.el6.i686 5/5
Đang xác minh: json-c-0.11-3.el6.i686 1/5
Đang xác minh: libestr-0.1.9-1.el6.i686 2/5
Đang xác minh: liblogging-1.0.4-1.el6.i686 3/5
Đang xác minh: libgt-0.3.11-1.el6.i686 4/5
Đang xác minh: rsyslog-7.6.7-1.el6.i686 5/5 
 
Đã cài đặt:
rsyslog.i686 0:7.6.7-1.el6 
 
Phụ thuộc đã cài đặt:
json-c.i686 0:0.11-3.el6 libestr.i686 0:0.1.9-1.el6 libgt.i686 0:0.3.11-1.el6 liblogging.i686 0:1.0.4-1.el6 
 
Hoàn tất!

[root@RSYS01 yum.repos.d]# rsyslogd -v
rsyslogd 7.6.7, được biên dịch bằng:
FEATURE_REGEXP: Có
Hỗ trợ GSSAPI Kerberos 5: Có
FEATURE_DEBUG (bản dựng gỡ lỗi, mã chậm): Không
Hoạt động Atomic 32 bit được hỗ trợ: Có
Hoạt động Atomic 64 bit được hỗ trợ: Có
Công cụ thời gian chạy (mã chậm): Không
Hỗ trợ uuid: Có
Số bit trong số nguyên RainerScript: 64 
 
Xem http://www.rsyslog.com để biết thêm thông tin.

[root@RSYS01 ~]# rpm -qa|grep rsyslog
rsyslog-7.6.7-1.el6.i686

Tiếp theo, chúng ta hãy tiến hành giai đoạn cài đặt. Đối với hướng dẫn này, chúng ta sẽ bỏ qua lớp bảo mật để đơn giản hóa mọi thứ. Chúng ta sẽ vô hiệu hóa SELINUX để đảm bảo không có vấn đề nào liên quan đến việc nâng cao bảo mật trong quá trình này. Lưu ý rằng bạn không nên vô hiệu hóa SELinux và Tường lửa khi thiết lập trực tiếp. Dưới đây là các bước:

Đầu tiên, hãy kiểm tra trạng thái hiện tại của chính sách SELINUX của chúng ta.

[root@RSYS01 ~]# getenforce
Enforcing

Để vô hiệu hóa vĩnh viễn, hãy làm theo các bước dưới đây:

[root@RSYS01 ~]# cd /etc/sysconfig/
[root@RSYS01 ~]# vi selinux 
 
# Tệp này kiểm soát trạng thái của SELinux trên hệ thống.
# SELINUX= có thể sử dụng một trong ba giá trị sau:
# enforcing - Chính sách bảo mật SELinux được thực thi.
# permissive - SELinux in cảnh báo thay vì enforcing.
# disabled - Không có chính sách SELinux nào được tải.
SELINUX=disabled
# SELINUXTYPE= có thể sử dụng một trong các giá trị sau hai giá trị:
# nhắm mục tiêu - Các quy trình được nhắm mục tiêu được bảo vệ,
# mls - Bảo vệ bảo mật nhiều cấp.
SELINUXTYPE=targeted

Sau đó, hãy đảm bảo rằng chúng ta đã tắt tường lửa để tránh bất kỳ sự chặn nào giữa kết nối máy chủ và máy khách.

[root@RSYS01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination 
 
Chain FORWARD (policy ACCEPT)
target prot opt source destination 
 
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

[root@RSYS01 ~]# /etc/init.d/iptables stop
iptables: Xả các quy tắc tường lửa: [OK]
iptables: Đặt chuỗi thành chính sách ACCEPT: lọc [OK]
iptables: Đang dỡ các mô-đun: [OK]

[root@RSYS01 ~]# /etc/init.d/iptables status
Bảng: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination 
 
Chain FORWARD (policy ACCEPT)
num target prot opt source destination 
 
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Xong, bây giờ giai đoạn cài đặt đã thành công. Chúng ta hãy chuyển sang giai đoạn cấu hình.

3. Cấu hình Rsyslog​

Tất cả các gói phụ thuộc đã được cài đặt, chúng ta hãy tập trung vào cấu hình rsyslog. Hãy vào bên trong tệp cấu hình và thực hiện các thay đổi như bên dưới:

[root@RSYS01 ~]# vi /etc/rsyslog.conf 
 
module(load="imudp") # chỉ cần thực hiện một lần
input(type="imudp" port="514") 
 
$template Auditlog, "/var/log/rsyslog_client/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/rsyslog_client/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.* ?Auditlog

Dưới đây là giải thích về các thay đổi cấu hình mà chúng tôi đã thực hiện:

• module(load="imudp") # chỉ cần thực hiện một lần ==> Chúng tôi sẽ cung cấp khả năng nhận tin nhắn rsyslog giữa máy chủ và máy khách thông qua giao thức UDP
• input(type="imudp" port="514") ==> Chúng tôi sẽ sử dụng cổng 514 cho các dịch vụ rsyslog
• $template Auditlog, "/var/log/rsyslog_client/%HOSTNAME%/%PROGRAMNAME%.log" ==> Đối với mọi máy khách được kết nối với máy chủ rsyslog, hệ thống sẽ tự động tạo thư mục tên máy chủ của máy khách và tên tệp dịch vụ liên quan
• $template TmplMsg, "/var/log/rsyslog_client/%HOSTNAME%/%PROGRAMNAME%.log" ==> Đối với mọi máy khách được kết nối với máy chủ rsyslog, hệ thống sẽ tự động tạo thư mục tên máy chủ của máy khách và tên tệp dịch vụ liên quan

Sau khi cấu hình xong, hãy khởi động dịch vụ rsyslog.

[root@RSYS01 yum.repos.d]# /etc/init.d/rsyslog restart
Đang tắt trình ghi nhật ký hệ thống: [THẤT BẠI]
Đang khởi động trình ghi nhật ký hệ thống: [OK]

Sử dụng netstat để đảm bảo các dịch vụ thersyslog đang hoạt động:

[root@RSYS01 yum.repos.d]# netstat -uanp|grep rsyslog
udp 0 0 0.0.0.0:514 0.0.0.0:* 2430/rsyslogd
udp 0 0 :::514 :::* 2430/rsyslogd

Ở trên, bạn có thể thấy dịch vụ rsyslog của chúng tôi đang chạy với các chỉ định cổng mà chúng tôi đã thực hiện. Theo mặc định, rsyslog cũng kiểm tra quyền truy cập máy chủ của chính nó vì nó coi máy chủ rsyslog là máy khách. Để đảm bảo nó có hoạt động hay không, chúng ta có thể xem thư mục /var/log. Hãy kiểm tra xem thư mục có tên RSYS01 (đó là tên máy chủ) có tồn tại hay không.

[root@RSYS01 log]# cd /var/log/
[root@RSYS01 log]# ls -l|grep rsyslog
drwx------ 3 root root 4096 24/10 18:21 rsyslog_client

[root@RSYS01 log]# cd rsyslog_client
[root@RSYS01 rsyslog_client]# ls
RSYS01
[root@RSYS01 rsyslog_client]# cd RSYS01/
[root@RSYS01 RSYS01]# ls
rsyslogd.log

Tốt, có vẻ như mọi thứ đều hoạt động tốt! Bây giờ chúng ta hãy tiến hành giai đoạn thử nghiệm để kết luận rằng tất cả các cấu hình đều được thực hiện như mong đợi.

4. Giai đoạn thử nghiệm​

Vì máy chủ chạy thersyslogservice cũng hoạt động như một máy khách, chúng ta có thể thấy trên chính máy chủ đó nếu việc giám sát các lần đăng nhập cục bộ được giám sát. Để đảm bảo điều đó có đúng hay không, hãy đăng nhập vào máy chủ rsyslog bằng một phiên khác bằng cách sử dụng dịch vụ SSH. Đối với bước này, chúng ta sẽ giả định rằng chính máy chủ đã cấu hình cấu hình không cần mật khẩu. Sau đây là các bước:

[root@RSYS01 RSYS01]# ssh root@RSYS01
Lần đăng nhập cuối: Thứ bảy, ngày 22 tháng 10 năm 15:45:48 năm 2016 từ 172.20.181.70

[root@RSYS01 ~]# who
root pts/0 2016-10-22 00:21 (172.20.181.11)
root pts/1 2016-10-24 18:22 (127.0.0.1)

[root@RSYS01 ~]# exit
logout
Kết nối đến RSYS01 đã đóng.

Xong, đơn giản như vậy thôi. Chúng ta chỉ cần đăng nhập vào chính máy chủ rsyslog sau đó khi phiên mới được tạo, chúng ta chỉ cần đăng nhập lại để đảm bảo dịch vụ thersyslog đã kiểm tra phiên. Bây giờ, hãy kiểm tra xem phiên đã được kiểm tra hay chưa. Sau đây là các bước:

[root@RSYS01 ~]# cd var/log/rsyslog_client/RSYS01
[root@RSYS01 RSYS01]# ls
rsyslogd.log sshd.log
[root@RSYS01 RSYS01]# tail -f sshd.log
24 tháng 10 18:22:46 RSYS01 sshd[2536]: Mật khẩu được chấp nhận cho root từ cổng 192.168.43.101 52862 ssh2
24 tháng 10 18:22:46 RSYS01 sshd[2536]: pam_unix(sshd:session): phiên được mở cho người dùng root bởi (uid=0)
24 tháng 10 18:22:50 RSYS01 sshd[2536]: Đã nhận được ngắt kết nối từ 192.168.43.101: 11: đã ngắt kết nối bởi người dùng
24 tháng 10 lúc 18:22:50 RSYS01 sshd[2536]: pam_unix(sshd:session): phiên đã đóng đối với người dùng root
^C

Tuyệt vời, dịch vụ rsyslog đã tự động tạo tệp sshd.log khi phiên bắt đầu trên máy chủ. Bên trong tệp nhật ký, chúng ta có thể thấy có danh sách chi tiết nêu thời gian, cổng và người dùng được tạo trong phiên.

Bây giờ mọi thứ hoạt động như mong đợi. Hãy thiết lập một máy trạm để máy khách thersyslog được máy chủ rsyslog của chúng ta kiểm tra. Đối với máy khách thersyslog, bạn chỉ cần cài đặt các gói rsyslog và thực hiện một thay đổi đơn giản trong tệp cấu hình để liên kết đến máy chủ rsyslog. Sau đây là các bước:

[root@CLIENT01 ~]# cd /etc/yum.repos.d/
[root@CLIENT01 yum.repos.d]# yum list rsyslog
Các plugin đã tải: refresh-packagekit, security
rsyslog-v7-stable | 2,5 kB 00:00
rsyslog-v7-stable/primary_db | 188 kB 00:01
Các gói có sẵn
rsyslog.i686 7.6.7-1.el6 rsyslog-v7-stable

[root@RSYS01 yum.repos.d]# yum install rsyslog -y
Các plugin đã tải: refresh-packagekit, security
Đang thiết lập quy trình cài đặt
Giải quyết các phụ thuộc
--> Đang chạy kiểm tra giao dịch
---> Gói rsyslog.i686 0:7.6.7-1.el6 sẽ được cài đặt
--> Đang xử lý phụ thuộc: liblogging-stdlog.so.0 cho gói: rsyslog-7.6.7-1.el6.i686
--> Xử lý phụ thuộc: libjson-c.so.2 cho gói: rsyslog-7.6.7-1.el6.i686
--> Xử lý phụ thuộc: libgthttp.so.0 cho gói: rsyslog-7.6.7-1.el6.i686
--> Xử lý phụ thuộc: libgtbase.so.0 cho gói: rsyslog-7.6.7-1.el6.i686
--> Xử lý phụ thuộc: libgt cho gói: rsyslog-7.6.7-1.el6.i686
--> Xử lý phụ thuộc: libestr.so.0 cho gói: rsyslog-7.6.7-1.el6.i686
--> Đang chạy kiểm tra giao dịch
---> Gói json-c.i686 0:0.11-3.el6 sẽ được cài đặt
---> Gói libestr.i686 0:0.1.9-1.el6 sẽ được cài đặt
---> Gói libgt.i686 0:0.3.11-1.el6 sẽ được cài đặt
---> Gói liblogging.i686 0:1.0.4-1.el6 sẽ được cài đặt
--> Đã hoàn tất giải quyết sự phụ thuộc
 
Đã giải quyết sự phụ thuộc
 
= ... Kích thước
= ... 0.3.11-1.el6 rsyslog-v7-stable 55 k
liblogging i686 1.0.4-1.el6 rsyslog-v7-stable 23 k
 
Tóm tắt giao dịch
= ... json-c-0.11-3.el6.i686.rpm | 46 kB 00:00
(2/5): libestr-0.1.9-1.el6.i686.rpm | 9.0 kB 00:00
(3/5): libgt-0.3.11-1.el6.i686.rpm | 55 kB 00:00
(4/5): liblogging-1.0.4-1.el6.i686.rpm | 23 kB 00:00
(5/5): rsyslog-7.6.7-1.el6.i686.rpm | 920 kB 00:03
--------------------------------------------------------------------------------------------------------------------------------
Tổng cộng 114 kB/giây | 1.0 MB 00:09
Đang chạy rpm_check_debug
Đang chạy Kiểm tra giao dịch
Kiểm tra giao dịch thành công
Đang chạy Giao dịch
Đang cài đặt: libgt-0.3.11-1.el6.i686 1/5
Đang cài đặt: liblogging-1.0.4-1.el6.i686 2/5
Đang cài đặt: libestr-0.1.9-1.el6.i686 3/5
Đang cài đặt: json-c-0.11-3.el6.i686 4/5
Đang cài đặt: rsyslog-7.6.7-1.el6.i686 5/5
Đang xác minh: json-c-0.11-3.el6.i686 1/5
Đang xác minh: libestr-0.1.9-1.el6.i686 2/5
Đang xác minh: liblogging-1.0.4-1.el6.i686 3/5
Đang xác minh: libgt-0.3.11-1.el6.i686 4/5
Đang xác minh: rsyslog-7.6.7-1.el6.i686 5/5
 
Đã cài đặt:
rsyslog.i686 0:7.6.7-1.el6
 
Phụ thuộc đã cài đặt:
json-c.i686 0:0.11-3.el6 libestr.i686 0:0.1.9-1.el6 libgt.i686 0:0.3.11-1.el6 liblogging.i686 0:1.0.4-1.el6
 
Hoàn tất!

Xong, giờ chúng ta đã cài đặt gói thersyslog trên máy trạm của khách hàng. Bây giờ chúng ta hãy thực hiện một sửa đổi bên trong tệp cấu hình rsyslog. Đối với cấu hình máy khách, bạn chỉ cần sửa đổi cấu hình như bên dưới:

[root@CLIENT01 ~]# vi /etc/rsyslog.conf
 
*.* @192.168.43.101:514

Vậy là xong, lưu ý rằng chúng ta đã bao gồm IP 192.168.43.101 với cổng 514 trong tệp cấu hình. IP đó là IP cho máy chủ rsyslog. Bây giờ khi mọi thứ đã hoàn tất, hãy khởi động lại dịch vụ rsyslog trên máy trạm của khách hàng để tải các thay đổi. Sau đây là các bước:

[root@CLIENT01 ~]# /etc/init.d/rsyslog restart
Shutting down system logger: [FAILED]
Starting system logger: [OK]

Bây giờ chúng ta hãy quay lại máy chủ rsyslog của mình và xem thư mục cho tên máy chủ rsyslog client đã được tạo trong thư mục nhật ký thersyslog chưa. Sau đây là các bước:

[root@RSYS01 ~]# cd var/log/rsyslog_client/
[root@RSYS01 rsyslog_client]# ls
RSYS01 CLIENT01

Tuyệt, lưu ý rằng thư mục có tên máy chủ rsyslog client đã được tạo tự động. Điều này xác nhận rằng cấu hình của chúng ta là chính xác và máy khách thersyslog có thể tạo kết nối UDP tới máy chủ thersyslog.

Đối với quy trình kiểm tra tiếp theo, hãy đăng nhập vào máy khách rsyslog với tư cách là người dùng khác và xem máy chủ thersyslog có thể ghi lại hoạt động hay không. Sau đây là các bước:

::CLIENT01::
đăng nhập với tư cách: shahril
Mật khẩu của [emailprotected]:
Lần đăng nhập cuối: CN 23/10 00:21:40 2016 từ 172.20.181.11

[shahril@CLIENT01 ~]$ who
shahril pts/0 2016-10-24 17:01 (192.168.43.80)

[shahril@CLIENT01 ~]$ exit

Bây giờ, hãy kiểm tra thư mục nhật ký bên trong máy chủ rsyslog để xem chúng ta có quản lý để ghi lại hoạt động được tạo từ máy khách rsyslog hay không.

[root@RSYS01 ~]# cd var/log/rsyslog_client/
[root@RSYS01 rsyslog_client]# cd CLIENT01/
[root@RSYS01 CLIENT01]# ls
rsyslogd.log sshd.log
[root@RSYS01 CLIENT01]# tail -10 sshd.log
24 tháng 10 17:01:47 CLIENT01 sshd[2102]: Đã chấp nhận mật khẩu cho shahril từ cổng 192.168.43.80 17002 ssh2
24 tháng 10 17:01:47 CLIENT01 sshd[2102]: pam_unix(sshd:session): phiên đã mở cho người dùng shahril bởi (uid=0)

Tuyệt, kết quả cho thấy quá trình hoạt động như mong đợi. Bây giờ để kiểm tra lần cuối, hãy đăng nhập lại vào máy khách thersyslog và cài đặt một gói để kiểm tra xem dịch vụ thersyslog có quản lý để ghi lại hoạt động khác ngoài việc tạo phiên hay không. Dưới đây là các bước:

::CLIENT01::
đăng nhập với tư cách: root
Mật khẩu của [emailprotected]:
Lần đăng nhập cuối: Thứ bảy, ngày 22 tháng 10 năm 2016 lúc 10:21:40 từ 172.20.181.11

[root@CLIENT01 ~]# yum install firefox -y
Các plugin đã tải: refresh-packagekit, security
Kho lưu trữ 'OEL64' bị thiếu tên trong cấu hình, sử dụng id
Thiết lập quy trình cài đặt
Giải quyết các phụ thuộc
--> Chạy kiểm tra giao dịch
---> Gói firefox.i686 0:10.0.12-1.0.1.el6_3 sẽ được cài đặt
--> Đã hoàn tất giải quyết sự phụ thuộc
 
Đã giải quyết sự phụ thuộc
 
= ... 
Tóm tắt giao dịch
= ... 
Đã cài đặt:
firefox.i686 0:10.0.12-1.0.1.el6_3
 
Hoàn tất!

Những thông tin trên cho thấy chúng tôi đã cài đặt thành công trình cài đặt trình duyệt firefox bên trong máy trạm rsyslog của mình. Bây giờ, hãy quay lại máy chủ rsyslog và kiểm tra xem rsyslog có thể ghi lại quá trình cài đặt gói của bên thứ ba vào máy trạm hay không. Sau đây là các bước:

[root@RSYS01 ~]# cd var/log/rsyslog_client/
[root@RSYS01 CLIENT01]# ls
rsyslogd.log sshd.log yum.log
[root@RSYS01 CLIENT01]# tail -20 yum.log
25 tháng 10 17:13:17 CLIENT01 yum[2319]: Đã cài đặt: firefox-10.0.12-1.0.1.el6_3.i686

Tuyệt vời, dịch vụ rsyslog đã kiểm tra được thông tin về hoạt động cài đặt trong máy trạm của khách hàng.