Centralny serwer logów – Debian

Konfigurację serwera logów zaczynamy od edycji pliku:
/etc/rsyslog.conf

Logi mogą być przesyłane protokołem UDP, TCP (oraz np.: RELP). Najbardziej popularny jest UDP. W profesjonalnych zastosowaniach należy jeszcze pomyśleć o szyfrowaniu transmisji (wraz z uwierzytelnieniem). Szyfrowanie UDP zapewni IPSEC. 
Dla krytycznych logów, w szczególnych zastosowaniach, można do ich utrwalania użyć drukarki lub nośników, do których można dopisywać dane, ale kasowanie wymaga specjalnej fizycznej akcji wykonanej prze operatora.

Ustawiamy numer portu, na którym będzie słuchać serwer logów:"
$UDPServerRun 514

Oraz wybieramy protokół (UDP):
$ModLoad imudp

Możemy też nakazać obsługę np.: UDP i TCP równocześnie:
$ModLoad imudp
$ModLoad imudp

Dla obsługi np.: routera możemy wykorzystać następującą opcję:
if $fromhost-ip startswith '192.168.1.1' then -/var/log/router01og

Lub za pomocą selektorów w formie:
funcja.priorytet

Przykładowe funkcje:
auth
cron
daemon
security
syslog
user
local0
*
...

Przykładowe priorytety:
debug
info
warnig
err
alert
*
...

Selektory obsługują komunikaty wybranego rzędu oraz ważniejsze od nich. Konkretny komunikat obsłużymy za pomocą:
funcja.=priorytet

Można jeszcze łączyć funkcje za pomocą przecinków, a selektory za pomocą średników lub stosować wykluczenie za pomocą wykrzyknika.

Teraz dodajemy akcję:
- Ukośnik "/" oznacza zapis do pliku. Jeżeli ukośnik poprzedzimy minusem to zapisy będą wykonywane rzadziej, oszczędzając I/O.
- Znak "@" oznacza hosta do którego wyślemy komunikat.
- Znak "|" oznacza potok (patrz: mkfifo).
- Inne znaki alfanumeryczne oznaczają użytkowników (nazwy oddzielone przecinkami) do których będą wysłane komunikaty (na terminalach). Gwiazdka oznacza wszystkich użytkowników.

Teraz restartujemy demona:
/etc/init.d/rsyslog restart 
I serwer logów gotowy.

By wysyłać logi do serwera logów można posłużyć się np. takim wpisem na klientach:
*.* @serwer_logów

Zdalny serwer logów można przetestować np. tak:
a) Tworzymy treść, którą chcemy wysłać do zdalnego serwera logów:
echo "cos_tam" >  test_syslog
b) Tworzymy pakiet udp, który wysyłamy do serwera logów:
hping3 192.168.1.2 -I eth0 -2 -p 514 -c 1 -d 10 -E test_syslog
(opcje polecenia hping3 są w stronach man)

O konfiguracji FreeBSD napisałem tu: Centralny serwer logów – FreeBSD




Autor:
Etykiety:

Brak komentarzy:

Prześlij komentarz

Subskrybuj: Komentarze do posta (Atom)