Як віддалено збирати події сервера за допомогою Syslog
Ви коли-небудь бажали, щоб замість того, щоб вручну входити на сервер, щоб побачити системний журнал, події просто прийшли б до вас? How-To Geek йде про те, як налаштувати колектор syslog.
Огляд
Syslog використовується на різних серверах / пристроях для надання системної інформації системному адміністратору. Вихід:
Syslog є стандартом для реєстрації комп'ютерних даних. Це дозволяє відокремити програмне забезпечення, яке генерує повідомлення від системи, що зберігає їх, і програмне забезпечення, яке їх звітує і аналізує.
Syslog може використовуватися для управління комп'ютерними системами та аудиту безпеки, а також узагальнених інформаційних, аналітичних та налагоджувальних повідомлень. Він підтримується різноманітними пристроями (наприклад, принтерами та маршрутизаторами) і приймачами на різних платформах. Через це, syslog може використовуватися для інтеграції даних журналу з багатьох різних типів систем у центральне сховище.
Щоб скористатися цією інформацією, можна:
- Підключіться до сервера / пристрою. Там, де, як, можна змінити з пристрою на пристрій і, якщо це можливо, звідки адміністратор по відношенню до брандмауера, що захищає актив.
- Знайдіть файл Syslog. Це може бути в дещо іншому місці в залежності від системи / пристрою, до якого здійснюється доступ. Наприклад, на Debian це “/ var / log / syslog” і на DD-WRT його “/ var / log / messages” (майже як би тільки вам на зло…).
- Використовуйте доступну утиліту перегляду файлів. Знову може бути дещо інший залежно від того, що доступно в системі. Наприклад, у Busybox утиліта «менше» не є повною реалізацією GNU, і як така відсутня функція «Прокрутити вперед» (+ F).
Альтернативою може бути встановлення колектора Syslog і відправлення подій до нього серверам / пристроям Syslog.
Передумови та припущення
- Пристрій, що підтримує віддалене Syslog-ing. У цій статті ми будемо використовувати DD-WRT як приклад.
- Syslog використовує порт 514 UDP, і як такий він повинен бути доступним з пристрою, який посилає інформацію колектору.
- Передбачається деяке базове знання мережі.
Налаштуйте колектор Syslog
Щоб зібрати події, потрібно мати сервер Syslog. Хоча існує безліч варіантів, таких як «Ківі» і «PRTG», щоб згадати декілька, ми вирішили використати «Syslog Watcher».
Примітка. Рекомендується, щоб сервер збору даних використовував IP-адресу, який не змінюватиметься, або шляхом статичного присвоєння, або шляхом резервування в DHCP.
- Завантажте останню систему спостереження Syslog.
- Установіть у звичайний спосіб "наступний -> наступний -> закінчити".
- Відкрийте програму з меню "Пуск".
- Коли буде запропоновано вибрати режим роботи, виберіть: "Керувати місцевим сервером Syslog".
- Якщо Windows UAC запропонує відповідь, затвердьте запит прав адміністратора.
- Запустіть службу, натиснувши величезну кнопку "Грати" у верхньому лівому кутку.
Хоча ви можете додатково налаштувати програму, наприклад, як показано у відеоуроках, у вас немає занадто великої кількості, і вона готова виконуватися.
Налаштуйте відправника Syslog
Як зазначено вище, ми будемо використовувати DD-WRT для цього прикладу. З огляду на це, віддалений Syslog-ing є можливістю, що підтримується більшістю пристроїв / ОС, які поважають себе. Зверніться до документації, як налаштувати її.
На DD-WRT:
- Перейдіть до webGUI і виберіть "Послуги".
- Установіть прапорець Увімкнути для "Syslogd".
- У текстовому полі Віддалений сервер помістіть IP / DNS сервера збору даних.
- Зберегти та застосувати для налаштування параметрів.
Саме це ... Ваш Syslog Watcher повинен почати займатись системними подіями.
Наприклад, якщо ви впровадили наш посібник "Як видалити рекламу з Pixelserv на DD-WRT", ви зможете побачити щось подібне:
Насолоджуйтесь :)
Не намагайтеся дистанційно керувати будь-якими космічними мостами…: P