log4j2 properties 配置日志发送给rsyslog over TLS

已于 2023-03-16 10:16:38 修改
阅读量375 收藏 1
点赞数
分类专栏: # syslog 文章标签: log4j 服务器 运维
于 2023-03-15 18:18:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43941593/article/details/129563046
版权

环境

ubuntu18。同上一篇over tcp的环境。
将ODL(java,客户端)的日志发送给rsyslog(服务器端)。

准备

rsyslog使用的gtls支持四种认证模式:

  • anon - IETF 的 draft-ietf-syslog-transport-tls-12 互联网草案中描述的匿名身份验证
  • x509/fingerprint - IETF 的 draft-ietf-syslog-transport-tls-12 互联网草案中描述的证书指纹认证
  • x509/certvalid - 仅证书验证
  • x509/name - IETF 的 draft-ietf-syslog-transport-tls-12 Internet 草案中描述的证书验证和主题名称身份验证

不推荐1、3,可使用2、4,我们来配置4。

注意:即使在 x509/fingerprint 模式下,客户端和服务器证书目前也必须由同一个根 CA 签名。

这样客户端(ODL)和服务器端(日志服务器,rsyslog)都需要复制的CA证书、生成自己的证书和公钥私钥。

a copy of ca.pem
cert.pem
key.pem

生成CA证书、证书、密钥

参考官网指导

先放放,下面记录下思路,有时间再回来实践。

官方建议使用 GnuTLS 的 certtool 生成必要证书。但是说适用于不涉及PKI的人。不太清楚什么意思。

按照步骤生成CA的私钥、CA证书。

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --outfile ca.pem

客户端和服务器各自一套的私钥和证书

certtool --generate-privkey --outfile key.pem
certtool --generate-request --load-privkey key.pem --outfile request.pem
certtool --generate-certificate --load-request request.pem --outfile cert.pem \ --load-ca-certificate ca.pem --load-ca-privkey ca-key.pem

客户端:
cert.pem和key.pem,通过格式转换成java支持的keystore.jks,用来设置keyStore。
a copy of ca.pem,通过格式转换成truststore.jks,用来设置trustStore。
格式转化参考如何将PEM证书转换成JKS证书

服务器端:
直接配置三个文件的路径。

客户端-log4j2

还是配置/etc/org.ops4j.pax.logging.cfg,在上次实现TCP传输的基础上,添加

# tls 1.2
log4j2.appender.syslog.protocol = ssl
log4j2.appender.syslog.ssl.type = ssl
log4j2.appender.syslog.ssl.keyStore.type = keyStore
log4j2.appender.syslog.ssl.keyStore.location = ${karaf.etc}/keystores/keystore.jks
log4j2.appender.syslog.ssl.keyStore.password = myclient
# 后面这两个路径没验证,不一定对。前面的启动ODL没报错。
#log4j2.appender.syslog.ssl.trustStore.location = truststore.jks
#log4j2.appender.syslog.ssl.trustStore.password = cacert

服务器端-rsyslog

服务器端配置的时候,注意InputTCPServer而非ActionSend,后者是用来配置rsyslog客户端的。
还是配置/etc/rsyslog.conf,在实现TCP传输的基础上。

未验证。这里可能还是有个rsyslog新旧版本命令格式不兼容的问题。

#加载gtls驱动,用于实现tls加密
$DefaultNetstreamDriver gtls
# 证书文件

#设置CA证书路径,用户可自定义配置路径
$DefaultNetstreamDriverCAFile /path/to/contrib/gnutls/ca.pem
#设置服务器证书文件路径,用户可自定义配置路径
$DefaultNetstreamDriverCertFile /path/to/contrib/gnutls/cert.pem
#设置服务器秘钥文件路径,用户可自定义配置路径
$DefaultNetstreamDriverKeyFile /path/to/contrib/gnutls/key.pem

$InputTCPServerStreamDriverMode 1 # 以仅 TLS 模式运行驱动程序
$InputTCPServerStreamDriverAuthMode x509/name

重启rsyslog。

踩过的坑

实际上在log4j端只添加一个log4j2.appender.syslog.protocol = ssl 服务器端不做任何添加,收到的日志似乎就已经是加密的(不确定,#010之类的乱码)

谷谷谷雨
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rsyslog系列】rsyslog远程接收日志服务器配置文件之TLS单向认证
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议单向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,所以tls协议的部分配置项可能无法兼容旧格式,只能采用新配置格式,需要在使用的时候注意,以防按照旧配置格式配置时出现无法生效的问题,而又没有解决思路,多尝试新配置格式的应用。
log4j的详细配置,log4j.xml和log4j.properties,日志输出到文件,邮件,数据库,控制台等
03-07
log4j的详细配置,log4j.xml和log4j.properties,日志输出到文件,邮件,数据库,控制台等
log4j2配置详解
最新发布
demon7552003的小本本
04-05 1477
配置 自动配置 log4j2支持4种格式的配置:json、yaml、xml、peroperties。加载顺序为:切分文件策略,是基于filePattern中的来决定到底采用哪种时间单位(天、小时、分钟、秒等)。日期格式精确到哪一位,interval 也精确到哪一个单位。注意中配置的文件重命名规则是 ,最小的时间粒度是 ,即秒钟。 默认的 是 1,结合起来就是每 1 秒钟生成一个新文件。如果改成 ,最小粒度为小时,则每一个小时生成一个文件,说明是否对封存时间进行调制。若 , 则封存时间将以 为边界进行偏移
8、log4j2properties
weixin_43472934的博客
01-17 847
<?xml version="1.0" encoding="UTF-8"?> <!-- monitorInterval="30"表示当修改了配置文件,我们不需要重启,它每30秒重新加载配置文件 --> <Configuration status="WARN" monitorInterval="30"> <properties> <property name="LOG_HOME">D:/logs</property> </p
linux c tls无锁日志,syslog-ng 系列连载-15 :通过 TLS 实现安全日志记录
weixin_33088763的博客
05-06 272
2.7.Secure loggingusing TLSThe Premium Edition of syslog-ng can send and receive log messages securelyover the network using the Transport Layer Security (TLS) protocol. TLS is anencryption protocol ...
日志数据安全审计 syslog和SNMP
ryanzzzzz的博客
07-25 1479
在使用SNMP方式获取日志数据时,需要确保设备上已经启用了SNMP代理,并配置了相应的OID和MIB以获取日志数据。在实际部署中,应采取相应的安全措施,如使用安全的SNMP版本(如SNMPv3)并配置合适的身份验证和加密选项,以保护日志数据的机密性和完整性。在使用syslog传输敏感信息时,应采取额外的安全措施,如使用虚拟专用网络(VPN)或使用加密的syslog协议(如Syslog over SSL/TLS)来确保日志数据的机密性和完整性。消息内容:具体的日志信息,描述了事件或错误的详细内容。
log4j2.properties
01-25
log4j2.properties,采用properties的方式配置log4j2
log4j2.properties日志过滤
nanjizhiyin的专栏
06-14 7793
使用properties过滤日志.只打印一种信息# 这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,会看到log4j2内部各种详细输出 status = error dest = err name = PropertiesConfig #公共变量 #文件路径 property.filePath=logs property.filePattern=logs/%d{yy...
使用Syslog4j发送syslog
chenliang15986的博客
06-17 1219
syslog4j作为发送syslog的常用工具,用的比较广泛,由于目前的一个项目中需要使用syslog去发送服务器的策略变更信息,所以去syslog4j官网找了一些例子看了一下。 目前官网没有稳定版本,最后更新的开发版的版本是0.9.46 由于只需要简单的发送syslog,也没有其它什...
Log4j2 Properties
gaoshan12345678910的博客
11-13 4887
Log4j2 一开始抛弃了properties配置文件格式,到2.4版本时,又开始支持properties配置文件格式。到2.6版本又有新的要求。 版本2.8 status = error property.LOG_HOME=/output/logs property.BACKUP_HOME=backup property.SERVER_NAME=buddie-Servic...
log4j.properties log4j2.properties
C_time的博客
11-21 748
log4j.propertie log4j.appender.Stdout=org.apache.log4j.ConsoleAppender log4j.appender.Stdout.layout=org.apache.log4j.PatternLayout log4j.appender.Stdout.layout.conversionPattern=%-5p - %-26.26c{1} - %...
Log4j输出日志syslog
03-22
NULL 博文链接:https://sjsky.iteye.com/blog/962870
log4j2 xml 和 properties配置
04-01
log4j2 xml 和 properties 配置
rsyslog系列】rsyslog远程接收日志服务器配置文件之TLS双向认证
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议双向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
rsyslog-tls.zip
12-01
本文档描述了一个设置rsyslog TLS的安全方法。一个安全日志环境需要的不仅仅是加密传输通道。本文档提供了一个可能的方法来创建这样的一个安全系统。
rsyslog日志转发配置(服务端和客户端)
12-06
linux rsyslog日志转发配置(服务端和客户端),配置日志转发服务,把系统日志转发到其他linux系统
Ubuntu系统日志配置 /var/log/messages的方法
01-10
syslog采用可配置的、统一的系统登记程序,随时从系统各处接受log请求,然后根据/etc/syslog.conf中的预先设定把log信息写入相应文件中、邮寄给特 定用户或者直接以消息的方式发往控制台。 好吧,问题又来了。系统中...
Log4j2properties详解
张紫娃的博客
04-02 2069
个人理解就是定义的xml里的。,一处定义多处使用。
syslog-ng 和syslog-ng tls 服务端配置
weixin_45982158的博客
08-22 1241
syslog-ng和syslog-ng tls配置syslog-ng服务端配置syslog-ng tls服务端配置 syslog-ng服务端配置 1、配置源 source s_sys{ udp(ip(0.0.0.0) port(514) flags(no-parse)); }; 2、解析json parser p_json{ json-parser (prefix(".message.")); }; 3、将日志存储到文件中 destination d_mysql{ file(“var/log/test.js
rsyslog 支持 log 127.0.0.1 local2 的配置
06-06
如果你想要将 HAProxy 的日志发送到本地的 Syslog 服务器,并使用 `local2` 标识日志来源,可以在 rsyslog配置文件中添加如下内容: ``` $ModLoad imudp $UDPServerAddress 127.0.0.1 $UDPServerRun 514 local2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值