Tải bản đầy đủ

LAB cài đặt hệ THỐNG SYSLOG

LAB CÀI ĐẶT HỆ THỐNG THU THẬP LOG TẬP TRUNG
SYSLOG
Các phiên bản của syslog-ng đây thường gắn thường đi gắn liền với nó là eventlog. Cả
eventlog và syslog-ng ta đều có thể download từ website: www.balabit.com. Thủ tục cài
đặt đơn giản nhưng cần phải có linux gcc - chương trình biên dịch ngôn ngữ lập trình cài
đặt sẵn để thành công. Các bước cài đặt như sau:
Bước 1
# wget http://www.balabit.com/downloads/files/eventlog/0.2/eventlog-.tar.gz
--21:43:01-- http://www.balabit.com/downloads/files/eventlog/0.2/eventlog-.tar.gz
Resolving www.balabit.com... 212.92.18.33
Connecting to www.balabit.com|212.92.18.33|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [application/octet-stream]
Saving to: `eventlog-.tar.gz'
[

<=>

] 312,164

35.3K/s in 8.6s


# wget http://www.balabit.com/downloads/files/syslog-ng/sources/2.0/src/syslog-ng
--21:46:37-- http://www.balabit.com/downloads/files/syslog-ng/sources/2.0/src/syslogResolving www.balabit.com... 212.92.18.33
Connecting to www.balabit.com|212.92.18.33|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [application/octet-stream]
Saving to: `syslog-ng-.tar.gz'
[

<=> ] 369,302

15.2K/s in 21s

21:47:00 (17.0 KB/s) - `syslog-ng-.tar.gz' saved [369302]
Bước 2
Cài đặt thư viện glib
# yum -y install glib*
Bước 3
Cài đặt eventlog
# tar -zxvf eventlog-.tar.gz


# cd eventlog# ./configure
# make
# make install
Bước 4
Biến môi trường cũng cần được thiết lập: PKG_CONFIG_PATH
# export PKG_CONFIG_PATH=/usr/local/lib/pkgconfig/
# vi .bash_profile
PATH=$PATH:$HOME/bin
PKG_CONFIG_PATH=/usr/local/lib/pkgconfig/
export PATH
unset uSERNAME
Bước 5
Cài syslog-ng# tar -zxvf syslog-ng.tar.gz
# cd syslog-ng# ./configure --sysconfdir=/etc/syslog-ng
# make
# make install
Quá trình cài đặt kết thúc, chúng ta sẽ có được các file cấu hình mẫu nằm trong thư mục
contrib.


[root@localhost syslog-ng-]# cd contrib
aix-packaging init.d.solaris Makefile.in
syslog-ng.conf.HP-UX
fedora-packaging init.d.SunOS README
syslog-ng.conf.RedHat
hpux-packaging init.d.SuSE relogger.pl
syslog-ng.conf.SunOS
init.d.HP-UX
lfs-packaging rhel-packaging
syslog-ng.vim
init.d.RedHat Makefile
syslog2ng
init.d.RedHat-7.3 Makefile.am syslog-ng.conf.doc
Bước 6
Tạo một thư mục syslog-ng trong /etc và copy các scripts và file cấu hình mẫu đến nơi
tương ứng
# mkdir /etc/syslog-ng
# cp fedora-packaging/syslog-ng.init /etc/init.d/syslog-ng


# cp fedora-packaging/syslog-ng.conf /etc/syslog-ng
# cp fedora-packaging/syslog-ng.sysconfig /etc/sysconfig/syslog-ng
# cp fedora-packaging/syslog-ng.logrotate /etc/logrotate.d/syslog-ng
Bước 7
Thay đổi quyền cho file /etc/init.d/syslog-ng
# chmod 755 /etc/init.d/syslog-ng
Bước 8
Lúc này cần tìm đúng vị trí của syslog-ng và cho init.d script trỏ đến đó
# updatedb
# locate syslog-ng | grep bin
/usr/local/sbin/syslog-ng
# vi /etc/init.d/syslog-ng
...
#exec="/sbin/syslog-ng"
exec="/usr/local/sbin/syslog-ng"
...
Bước 9
Dừng syslog và khởi tạo syslog-ng
# service syslog stop
# service syslog-ng start

Bước 10
Cấu hình để syslog-ng khởi động ở lần reboot tiếp theo
# chkconfig syslog off
# chkconfig syslog-ng on

CẤU HÌNH SYSLOG-NG
Cấu hình syslog-ng
Những hành vi vủa syslog-ng được kiếm soát bởi file cấu hình của nó /etc/syslogng/syslog-ng.conf .
…….


options {
sync (0);
time_reopen (10);
log_fifo_size (1000);
long_hostnames (off);
use_dns (no);
use_fqdn (no);
create_dirs (yes);
keep_hostname (yes);
};
source s_sys {
file ("/proc/kmsg" log_prefix("kernel: "));
unix-stream ("/dev/log");
internal();
# udp(ip(0.0.0.0) port(514));
# tcp(ip(0.0.0.0) port(514));
};
destination d_cons { file("/dev/console"); };
destination d_mesg { file("/var/log/messages"); };
destination d_auth { file("/var/log/secure"); };
destination d_mail { file("/var/log/maillog" sync(10)); };
destination d_spol { file("/var/log/spooler"); };
destination d_boot { file("/var/log/boot.log"); };
destination d_cron { file("/var/log/cron"); };
destination d_mlal { usertty("*"); };
#filter f_filter1 { facility(kern); };
filter f_filter2 { level(info..emerg) and
not facility(mail,authpriv,cron); };
filter f_filter3 { facility(authpriv); };
filter f_filter4 { facility(mail); };
filter f_filter5 { level(emerg); };
filter f_filter6 { facility(uucp) or
(facility(news) and level(crit..emerg)); };


filter f_filter7 { facility(local7); };
filter f_filter8 { facility(cron); };
#log { source(s_sys); filter(f_filter1); destination(d_cons); };
log { source(s_sys); filter(f_filter2); destination(d_mesg); };
log { source(s_sys); filter(f_filter3); destination(d_auth); };
log { source(s_sys); filter(f_filter4); destination(d_mail); };
log { source(s_sys); filter(f_filter5); destination(d_mlal); };
log { source(s_sys); filter(f_filter6); destination(d_spol); };
log { source(s_sys); filter(f_filter7); destination(d_boot); };
log { source(s_sys); filter(f_filter8); destination(d_cron); };
Cấu hình enableing remote Logging
Ta có thể gửi log messages từ linux clients đến syslog-ng server với syslogd. Nhưng cách
làm này là không an toàn và thông tin có thể bị mất bởi vì syslogd truyền bằng UDP
packets. Đó là lý do ta cần cài đặt syslog-ng trên client.
 Ta cấu hình bằng cách thêm những dòng sau vào syslog-ng.conf trên server để cho

phép nhận messages từ remote clients và xuất chúng ra một file trên host.
source s_remote { tcp(); };
destination d_clients { file ("/var/log/syslog-ng/$DAY.$MONTH.$YEAR/$HOST/
$FACILITY.log"); };
log { source(s_remote); destination(d_clients); };
 Trên client host ta có thể tập hợp tất cả các local messages và gửi đến remote.

Thêm vào file /etc/syslog-ng/syslog-ng.conf đoạn code như sau:
#sample syslog-ng.conf for a remote client
source s_local { internal(); unix-stream("/dev/log"); file("/proc/kmsg" log_prefix("kernel:
")); };
destination d_loghost {tcp("10.4.22.222" port(514));};
log { source(s_local); destination(d_loghost); };
Khi nào thay đổi file syslog-ng thì cần phải restart syslog-ng


# /etc/init.d/syslog-ng restart
Kiểm tra quá trình đẩy log từ client linux về syslog-ng server:
- Trên syslog-ng client, restart một dịch vụ bất kỳ, hoặc dùng lệnh su để vào các
tài khoản.
- Trên syslog-ng server kiểm tra
Cấu hình Syslog-ng nhận log từ Windows
Trên Window
Để remote Logging trên Windows về Syslog-ng server có rất nhiều công cụ như: Syslogng Agent, SNARE for Windows,…vv. Các tool này giao tiếp với hệ thống và ghi lại các
sự kiện của Windows tới nhật ký, ghi lại sự kiện đọc, lọc và gửi từ các ứng dụng rồi gửi
đến syslog-ng server qua giao thức UDP Port 514. Các nhật ký này sau đó sẽ được lọc
theo một các mục đích được lựa chọn bởi người quản trị và được thông qua mạng, sử
dụng giao thức UDP tới server.
+ Cài đặt và cấu hình Datagram SyslogAgent


+ Cài đặt và cấu hình SNARE for Windows:

Cấu hình trên syslog-ng server
Trên syslog-ng server, file /etc/syslog-ng.conf ta cấu hình như sau
……….
source s_sys {
file ("/proc/kmsg" log_prefix("kernel: "));
unix-stream ("/dev/log");
internal();
# udp(ip(0.0.0.0) port(514));
# tcp(ip(0.0.0.0) port(514));
};
source s_remote { tcp(); udp(); };
destination d_clients { file ("/var/log/syslog-ng/$DAY.$MONTH.$YEAR/$HOST/
$FACILITY.log"); };
log { source(s_remote); destination(d_clients); };
….


….



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×