Jak vzdáleně sbírat události serveru pomocí Syslog
Přál jste si někdy, aby se místo toho, abyste se museli ručně přihlásit k serveru, abyste mohli vidět systémový protokol, budou události jednoduše k vám přicházet? How-To Geek jde o nastavení syslog sběrače.
Přehled
Syslog se používá na různých serverech / zařízeních, aby systémové informace poskytly správci systému. Jde o Wiki:
Syslog je standard pro protokolování počítačových dat. Umožňuje oddělení softwaru, který generuje zprávy ze systému, který je ukládá, a softwaru, který je hlásí a analyzuje.
Systém Syslog lze použít k řízení počítačového systému a auditu zabezpečení, stejně jako k obecným informacím, analýzám a ladění zpráv. Je podporován širokou škálou zařízení (například tiskáren a směrovačů) a přijímačů na různých platformách. Z tohoto důvodu může být syslog použit k integraci dat protokolu z mnoha různých typů systémů do centrálního úložiště.
Abychom mohli tyto informace využít, mohli bychom:
- Připojte se k serveru / zařízení. Kde, jak se může změnit ze zařízení na zařízení a vůbec vůbec od toho, odkud je administrátor ve vztahu k bráně firewall chránícímu daný materiál.
- Najděte soubor Syslog. Který by mohl být v poněkud odlišném místě v závislosti na dostupném systému / zařízení. Například v Debianu to je "/ var / log / syslog" a na DD-WRT je jeho "/ var / log / messages" (téměř jako kdybyste jen ...).
- Použijte dostupné nástroje pro prohlížení souborů. Opět může být trochu odlišné v závislosti na tom, co je v systému k dispozici. Například v Busyboxu není utilita "less" úplnou GNU implementací a jako taková chybí funkce "Scroll forward" (+ F).
Alternativou by bylo nastavení sys- témového sběrače a zaslání serverů / zařízení Syslog-ing k němu.
Předpoklady a předpoklady
- Zařízení, které podporuje vzdálené Sysloging. V tomto článku budeme jako příklad používat DD-WRT.
- Syslog používá port 514 UDP a jako takový musí být přístupný ze zařízení, které odesílá informace do kolektoru.
- Některé základní sítě vědí, jak se předpokládá.
Nastavte kolektor Syslog
Aby bylo možné sbírat události, je třeba mít server Syslog. Zatímco existuje řada možností jako "Kiwi" a "PRTG", abychom zmínili několik, rozhodli jsme se použít "Syslog Watcher".
Poznámka: Doporučuje se, aby shromažďovací server použil IP adresu, která se nezmění ani statickým přiřazením nebo rezervací v DHCP.
- Stáhněte si poslední Syslog Watcher.
- Nainstalujte do běžného režimu "next -> next -> finish".
- Otevřete program z nabídky "start".
- Po zobrazení výzvy k výběru režimu provozu vyberte: "Správa lokálního serveru Syslog".
- Pokud vás systém Windows UAC vyzve, schválte požadavek správních práv.
- Spusťte službu kliknutím na obrovské tlačítko "Přehrát" vlevo nahoře.
Zatímco byste mohli program dále konfigurovat, jak je ukázáno v video výukových programech, nemáte taky a je připraveno.
Nastavte odesílatele Syslog
Jak bylo uvedeno výše, pro tento příklad použijeme DD-WRT. Tím se říká, že vzdálené Syslog-ing je schopnost podporovaná většinou sobě respektujících zařízení / OS. Prostudujte dokumentaci, jak ji nastavit.
Na DD-WRT:
- Přejděte do webGUI a vyberte "Služby".
- Zaškrtněte políčko Povolit pro "Syslogd".
- V textovém poli Vzdálený server vložte IP / DNS shromažďovacího serveru.
- Uložit a použít, chcete-li ovlivnit nastavení.
To je ... váš Syslog Watcher by se měl začít naplňovat systémovými událostmi.
Například pokud jste provedli náš průvodce "Jak odstranit inzeráty s Pixelserv na DD-WRT", budete moci vidět něco jako níže:
Užívat si :)
Nepokoušejte se vzdáleně ovládat prostorové mosty ...: P