Як віддалено збирати події сервера за допомогою Syslog

Ви коли-небудь бажали, щоб замість того, щоб вручну входити на сервер, щоб побачити системний журнал, події просто прийшли б до вас? How-To Geek йде про те, як налаштувати колектор syslog.

Огляд

Syslog використовується на різних серверах / пристроях для надання системної інформації системному адміністратору. Вихід:

Syslog є стандартом для реєстрації комп'ютерних даних. Це дозволяє відокремити програмне забезпечення, яке генерує повідомлення від системи, що зберігає їх, і програмне забезпечення, яке їх звітує і аналізує.

Syslog може використовуватися для управління комп'ютерними системами та аудиту безпеки, а також узагальнених інформаційних, аналітичних та налагоджувальних повідомлень. Він підтримується різноманітними пристроями (наприклад, принтерами та маршрутизаторами) і приймачами на різних платформах. Через це, syslog може використовуватися для інтеграції даних журналу з багатьох різних типів систем у центральне сховище.

Щоб скористатися цією інформацією, можна:

1. Підключіться до сервера / пристрою. Там, де, як, можна змінити з пристрою на пристрій і, якщо це можливо, звідки адміністратор по відношенню до брандмауера, що захищає актив.
2. Знайдіть файл Syslog. Це може бути в дещо іншому місці в залежності від системи / пристрою, до якого здійснюється доступ. Наприклад, на Debian це “/ var / log / syslog” і на DD-WRT його “/ var / log / messages” (майже як би тільки вам на зло…).
3. Використовуйте доступну утиліту перегляду файлів. Знову може бути дещо інший залежно від того, що доступно в системі. Наприклад, у Busybox утиліта «менше» не є повною реалізацією GNU, і як така відсутня функція «Прокрутити вперед» (+ F).

Альтернативою може бути встановлення колектора Syslog і відправлення подій до нього серверам / пристроям Syslog.

Передумови та припущення

• Пристрій, що підтримує віддалене Syslog-ing. У цій статті ми будемо використовувати DD-WRT як приклад.
• Syslog використовує порт 514 UDP, і як такий він повинен бути доступним з пристрою, який посилає інформацію колектору.
• Передбачається деяке базове знання мережі.

Налаштуйте колектор Syslog

Щоб зібрати події, потрібно мати сервер Syslog. Хоча існує безліч варіантів, таких як «Ківі» і «PRTG», щоб згадати декілька, ми вирішили використати «Syslog Watcher».

Примітка. Рекомендується, щоб сервер збору даних використовував IP-адресу, який не змінюватиметься, або шляхом статичного присвоєння, або шляхом резервування в DHCP.

• Завантажте останню систему спостереження Syslog.
• Установіть у звичайний спосіб "наступний -> наступний -> закінчити".
• Відкрийте програму з меню "Пуск".
• Коли буде запропоновано вибрати режим роботи, виберіть: "Керувати місцевим сервером Syslog".
• Якщо Windows UAC запропонує відповідь, затвердьте запит прав адміністратора.
• Запустіть службу, натиснувши величезну кнопку "Грати" у верхньому лівому кутку.

Хоча ви можете додатково налаштувати програму, наприклад, як показано у відеоуроках, у вас немає занадто великої кількості, і вона готова виконуватися.

Налаштуйте відправника Syslog

Як зазначено вище, ми будемо використовувати DD-WRT для цього прикладу. З огляду на це, віддалений Syslog-ing є можливістю, що підтримується більшістю пристроїв / ОС, які поважають себе. Зверніться до документації, як налаштувати її.

На DD-WRT:

• Перейдіть до webGUI і виберіть "Послуги".
• Установіть прапорець Увімкнути для "Syslogd".
  
•  У текстовому полі Віддалений сервер помістіть IP / DNS сервера збору даних.
• Зберегти та застосувати для налаштування параметрів.

Саме це ... Ваш Syslog Watcher повинен почати займатись системними подіями.

Наприклад, якщо ви впровадили наш посібник "Як видалити рекламу з Pixelserv на DD-WRT", ви зможете побачити щось подібне:

Насолоджуйтесь :)

Не намагайтеся дистанційно керувати будь-якими космічними мостами…: P