Kumpulkan Syslog menggunakan Logtail - Simple Log Service

Topik ini menjelaskan cara membuat konfigurasi Logtail di Konsol Simple Log Service untuk mengumpulkan Syslog.

Cara kerja

Implementasi

Pada server Linux, Anda dapat mengonfigurasi agen Syslog, seperti rsyslog, untuk meneruskan data Syslog lokal ke alamat IP dan port tertentu. Logtail mendengarkan pada alamat dan port tersebut, menerima data melalui TCP atau UDP, lalu menguraikannya berdasarkan protokol Syslog yang ditentukan. Logtail kemudian mengekstrak bidang-bidang seperti facility, tag (program), severity, dan konten dari log tersebut.

Syslog mendukung protokol yang didefinisikan dalam RFC 3164 dan RFC 5424.

Prasyarat

Proyek dan penyimpanan log Jenis Penyimpanan Standar telah dibuat. Untuk informasi selengkapnya, lihat Kelola proyek dan Buat penyimpanan log dasar.
Fitur ini hanya mendukung sistem Linux dan memerlukan versi terbaru Logtail. Untuk mengetahui cara memperbarui Logtail, lihat Instal Logtail pada server Linux.

Prosedur

Topik ini menggunakan instance ECS sebagai contoh untuk menunjukkan cara mengumpulkan Syslog.

Masuk ke Konsol Simple Log Service.
Di bagian Import Data, pilih Custom Data Plug-in.
Pilih proyek dan logstore, lalu klik Next.
Buat kelompok mesin.
- Jika kelompok mesin sudah tersedia, klik Use Existing Machine Groups.
- Jika belum ada kelompok mesin, lakukan langkah-langkah berikut untuk membuat kelompok mesin. Dalam contoh ini, digunakan instance Elastic Compute Service (ECS).
  1. Pada tab ECS Instance, pilih Manually Select Instances. Lalu, pilih instance ECS yang ingin digunakan dan klik Create.
    
    Untuk informasi selengkapnya, lihat Instal Logtail pada instance ECS.
    
    Penting
    Jika server Anda adalah instance ECS yang termasuk dalam Akun Alibaba Cloud yang berbeda dari Simple Log Service, server di pusat data, atau server dari penyedia layanan cloud pihak ketiga, Anda harus menginstal Logtail secara manual pada server tersebut. Untuk informasi selengkapnya, lihat Instal Logtail pada server Linux atau Instal Logtail pada server Windows. Setelah menginstal Logtail secara manual, Anda harus mengonfigurasi pengenal pengguna untuk server tersebut. Untuk informasi selengkapnya, lihat Konfigurasikan pengenal pengguna.
  2. Setelah mengonfirmasi pengaturan, klik OK.
  3. Setelah Logtail terinstal, klik Complete Installation.
  4. Pada langkah Create Machine Group, konfigurasi parameter Name, lalu klik Next.
    
    Simple Log Service memungkinkan Anda membuat kelompok mesin berbasis alamat IP dan kelompok mesin berbasis pengenal kustom. Untuk informasi selengkapnya, lihat Buat kelompok mesin berbasis alamat IP dan Buat kelompok mesin berbasis pengenal kustom.
Konfirmasi bahwa kelompok mesin ditampilkan di bagian Applied Server Groups, lalu klik Next.

Penting
Jika Anda menerapkan kelompok mesin segera setelah membuatnya, status heartbeat kelompok mesin mungkin FAIL. Masalah ini terjadi karena kelompok mesin belum terhubung ke Simple Log Service. Untuk mengatasinya, Anda dapat mengklik Automatic Retry. Jika masalah tetap berlanjut, lihat Apa yang harus saya lakukan jika tidak ada koneksi heartbeat yang terdeteksi pada Logtail?

Pada tab Configure Data Source, atur Configuration Name, salin dan tempel skrip berikut ke dalam bidang Plug-in Configuration, lalu klik Next.

{
     "inputs": [
         {
             "type": "service_syslog",
             "detail": {
                 "Address": "tcp://0.0.0.0:9000",
                 "ParseProtocol": "rfc3164"
             }
         },
         {
             "type": "service_syslog",
             "detail": {
                 "Address": "udp://0.0.0.0:9001",
                 "ParseProtocol": "rfc3164"
             }
         }
     ]
 }

Tabel berikut menjelaskan parameter-parameter dalam skrip tersebut.

Parameter	Tipe	Wajib	Deskripsi
`type`	string	Ya	Tipe sumber data. Tetapkan nilainya ke `service_syslog`.
`Address`	string	Tidak	Protokol, alamat, dan port tempat Logtail mendengarkan. Nilainya dalam format `[tcp/udp]://[ip]:[port]`. Jika Anda tidak mengonfigurasi parameter ini, Logtail secara default menggunakan `tcp://127.0.0.1:9999` dan hanya menerima log yang diteruskan dari server lokal. Catatan Protokol, alamat, dan nomor port yang ditentukan dalam konfigurasi Logtail harus sesuai dengan aturan pengalihan dalam file konfigurasi rsyslog Anda. Jika server tempat Logtail diinstal memiliki beberapa alamat IP yang dapat menerima log, Anda dapat mengatur alamat menjadi `0.0.0.0` agar mendengarkan pada semua alamat IP server tersebut.
`ParseProtocol`	string	Tidak	Protokol yang digunakan Logtail untuk mengurai log. Jika dibiarkan kosong (nilai default), log tidak diurai. Nilai yang valid: Kosong: Log tidak diurai. rfc3164: Log diurai menggunakan protokol RFC 3164. rfc5424: Log diurai menggunakan protokol RFC 5424. auto: Protokol yang sesuai dipilih secara otomatis berdasarkan konten log.
`IgnoreParseFailure`	boolean	Tidak	Menentukan tindakan yang diambil jika penguraian log gagal. Nilai default adalah `true`, yang berarti melewati penguraian dan menulis log mentah ke bidang `content`. Jika Anda menetapkan parameter ini ke `false`, Logtail akan membuang log tersebut jika penguraian gagal.

Pada tab Query and Analysis Configurations, klik Automatic Index Generation. Saat ini belum ada data yang dikumpulkan. Klik Next untuk menyelesaikan konfigurasi Logtail.
Masuk ke instance ECS yang menghasilkan Syslog, lalu konfigurasi penerusan rsyslog.
1. Pada server tempat Syslog dihasilkan, ubah file konfigurasi rsyslog di /etc/rsyslog.conf dan tambahkan aturan pengalihan di akhir file.
  Setelah menambahkan aturan pengalihan, rsyslog akan meneruskan Syslog ke alamat IP dan port yang ditentukan.
  - Jika Anda mengumpulkan Syslog dari server yang sama tempat Logtail berjalan, atur alamat pengalihan ke 127.0.0.1 dan gunakan port yang sama seperti yang ditentukan dalam konfigurasi Logtail Anda.
  - Jika Anda mengumpulkan Syslog dari server remote, atur alamat pengalihan ke Alamat IP publik server tempat Logtail berjalan dan gunakan port yang sama seperti yang ditentukan dalam konfigurasi Logtail Anda.
  Sebagai contoh, konfigurasi berikut meneruskan semua log ke 127.0.0.1:9000 melalui TCP. Untuk informasi lebih lanjut tentang file konfigurasi, lihat dokumentasi RSyslog.
```
*.* @@127.0.0.1:9000
```
2. Jalankan perintah berikut untuk merestart rsyslog agar aturan pengalihan berlaku.
```
sudo service rsyslog restart
```
Buka Konsol Simple Log Service untuk melihat data Syslog yang telah dikumpulkan di Logstore tujuan. Untuk informasi selengkapnya, lihat Panduan Cepat untuk Kueri dan Analisis.

Bidang log

Bidang	Deskripsi
`_hostname_`	Jika hostname tidak disediakan dalam log, Logtail menggunakan hostname host saat ini.
`_program_`	Bidang tag dari protokol Syslog.
`_priority_`	Bidang priority dari protokol Syslog.
`_facility_`	Bidang facility dari protokol Syslog.
`_severity_`	Bidang severity dari protokol Syslog.
`_unixtimestamp_`	Timestamp log.
`_content_`	Konten log. Jika penguraian gagal, bidang ini berisi seluruh konten log mentah.
`_ip_`	Alamat IP host saat ini.
`_client_ip_`	Alamat IP klien yang mengirim log.

Contoh lainnya

Log Nginx

Nginx dapat langsung meneruskan log akses ke alamat IP dan port tertentu menggunakan protokol Syslog. Jika Anda ingin mengirim semua data dari server, termasuk log akses Nginx, ke Simple Log Service dalam format Syslog secara terpusat, Anda dapat membuat konfigurasi Logtail untuk mengumpulkan data tersebut.

Buat konfigurasi Logtail. Untuk informasi selengkapnya, lihat Kumpulkan Syslog Linux.

Kode berikut menunjukkan contoh skrip Plug-in Configuration.

{
     "inputs": [
         {
             "type": "service_syslog",
             "detail": {
                 "Address": "udp://127.0.0.1:9001",
                 "ParseProtocol": "rfc3164"
             }
         }
     ]
 }

Tambahkan aturan pengalihan untuk Nginx.
1. Tambahkan aturan pengalihan ke file nginx.conf pada server Nginx. Untuk informasi selengkapnya, lihat dokumentasi resmi Nginx.
  Sebagai contoh, tambahkan konten berikut ke file konfigurasi.
```
server {
    ...

    # Tambahkan baris ini.
    access_log syslog:server=127.0.0.1:9001,facility=local7,tag=nginx,severity=info combined;

    ...
}
                                
```
2. Jalankan perintah berikut untuk merestart layanan Nginx agar konfigurasi berlaku.
```
sudo service nginx restart
```

Log firewall

Firewall biasanya mendukung penerusan log akses ke alamat IP dan port tertentu menggunakan protokol Syslog. Jika Anda ingin mengirim log firewall ke Simple Log Service dalam format Syslog secara terpusat, misalnya untuk membangun SIEM, Anda dapat membuat konfigurasi Logtail untuk mengumpulkan log tersebut.

Buat konfigurasi Logtail. Untuk informasi selengkapnya, lihat Kumpulkan Syslog Linux.

Kode berikut menunjukkan contoh skrip Plug-in Configuration.

{
     "inputs": [
         {
             "type": "service_syslog",
             "detail": {
                 "Address": "udp://0.0.0.0:9001",
                 "ParseProtocol": "rfc3164"
             }
         }
     ]
 }

Merujuk pada dokumentasi firewall Anda untuk menambahkan aturan pengalihan. Dalam contoh ini, alamat IP server tempat Logtail diinstal adalah 10.20.30.40.

Troubleshooting

Jika tidak ada data yang muncul di halaman pratinjau atau halaman kueri setelah Anda mengonfigurasi Logtail, Anda dapat menjalankan perintah logger untuk mengirim data ke instance Logtail lokal. Hal ini membantu menentukan apakah masalah berasal dari sumber data, jaringan, atau Logtail.

Jika instance Logtail lokal menerima data, kemungkinan besar masalah berasal dari sumber data atau jaringan.

logger -n localhost -P 9000 -T "This is a TCP syslog message"
logger -n localhost -P 9001 -d "This is a UDP syslog message"

Untuk informasi pemecahan masalah lebih lanjut, lihat Memecahkan Masalah Kegagalan Pengumpulan Log Logtail.