Cum se colectează de la distanță evenimente de server folosind Syslog

Ați dorit vreodată ca, în loc să vă conectați manual la un server pentru a vedea jurnalul de sistem, evenimentele ar veni pur și simplu la voi? How-To Geek merge în modul de configurare a unui colector syslog.

Prezentare generală

Syslog este utilizat pe o varietate de servere / dispozitive pentru a oferi administratorului de sistem informații despre sistem. Afară este Wiki:

Syslog este un standard pentru logarea datelor pe computer. Acesta permite separarea software-ului care generează mesaje de la sistemul care le stochează și software-ul care le raportează și analizează.

Syslog poate fi folosit pentru managementul sistemelor informatice și pentru auditul de securitate, precum și mesaje generalizate de informare, analiză și depanare. Este susținută de o mare varietate de dispozitive (cum ar fi imprimante și routere) și receptoare pe mai multe platforme. Din acest motiv, syslog poate fi folosit pentru a integra datele de jurnal din mai multe tipuri diferite de sisteme într-un depozit central.

Pentru a accesa aceste informații, s-ar putea:

Conectați-vă la server / dispozitiv. În cazul în care modul în care, se poate schimba de la dispozitiv la dispozitiv și, dacă este posibil, de la locul în care administratorul este în raport cu firewall-ul care protejează activul.
Găsiți fișierul Syslog. Care ar putea fi într-o locație ușor diferită, în funcție de sistemul / dispozitivul accesat. De exemplu, pe Debian aceasta este "/ var / log / syslog", iar pe DD-WRT "/ var / log / messages" (aproape ca și cum numai pentru a te spite ...).
Utilizați un utilitar de vizualizare a fișierelor disponibile. Din nou, ar putea fi ușor diferită în funcție de ceea ce este disponibil în sistem. De exemplu, în Busybox, utilitarul "less" nu este implementarea completă a GNU și ca atare lipsește funcția "Scroll forward" (+ F).

Alternativa ar fi să configurați un colector Syslog și serverele / dispozitivele Syslogging să le trimită evenimentele.

Cerințe preliminare și presupuneri

Un dispozitiv care acceptă Syslogging de la distanță. În acest articol vom folosi DD-WRT ca exemplu.
Syslog utilizează portul 514 UDP și ca atare trebuie să fie accesibil de la dispozitivul care trimite informațiile către colector.
Unele rețele de bază știu cum se presupune.

Configurați colectorul Syslog

Pentru a colecta evenimentele, trebuie să aveți un server Syslog. Deși există o mulțime de opțiuni precum "Kiwi" și "PRTG" pentru a menționa câteva, am optat pentru utilizarea "Syslog Watcher".

Notă: Se recomandă ca serverul de colectare să utilizeze o adresă IP care nu se va schimba, fie prin alocarea statică sau rezervarea acestuia în DHCP.

Descărcați cel mai recent Syslog Watcher.
Instalați în modul obișnuit "next -> next -> finish".
Deschideți programul din "meniul de pornire".
Când vi se solicită să selectați modul de operare, selectați: "Gestionați serverul Syslog local".
Dacă vi se solicită Windows UAC, aprobați solicitarea de drepturi administrative.
Porniți serviciul făcând clic pe butonul imens "Play" din partea stângă sus.

În timp ce ați putea configura programul în continuare, de exemplu, așa cum se arată în tutorialele video, nu aveți prea mult și este gata să vă rotiți.

Configurați expeditorul Syslog

După cum sa menționat mai sus, vom folosi DD-WRT pentru acest exemplu. Cu acest lucru a spus, Syslog-ing de la distanță este o capacitate susținută de cele mai multe dispozitive / sisteme de operare. Consultați documentația cu privire la modul de configurare.

Pe DD-WRT:

Accesați webGUI și selectați "Servicii".
Bifați caseta de selectare Activare pentru "Syslogd".
În caseta de text Remote Server, puneți adresa IP / DNS a serverului de colectare.
Salvați & Aplicați pentru ca setările să fie afectate.