Как да се събират събития от сървъра дистанционно чрез Syslog

Искали ли сте някога, вместо да се налага ръчно да влезете в сървъра, за да видите системния дневник, събитията просто ще дойдат при вас? How-To Geek отива в това как да настроите колектор на syslog.

Преглед

Syslog се използва на различни сървъри / устройства, за да дава системна информация на системния администратор. Това е Wiki запис:

Syslog е стандарт за регистриране на компютърни данни. Тя позволява разделяне на софтуера, който генерира съобщения от системата, която ги съхранява, и софтуера, който ги отчита и анализира.

Syslog може да се използва за управление на компютърни системи и одит на сигурността, както и за обобщени информационни, анализи и съобщения за отстраняване на грешки. Той се поддържа от голямо разнообразие от устройства (като принтери и рутери) и приемници от множество платформи. Поради това syslog може да се използва за интегриране на данни от различни видове системи в централно хранилище.

За да се използва тази информация, може:

1. Свържете се със сървъра / устройството. Където начинът може да се промени от устройство на устройство и ако е възможно изобщо от мястото, където администраторът е във връзка със защитната стена, защитаваща актива.
2. Намерете файла Syslog. Което може да е на малко по-различно място в зависимост от системата / устройството, до което се осъществява достъп. Например, в Debian това е “/ var / log / syslog” и на DD-WRT е “/ var / log / messages” (почти като че ли на вас…).
3. Използвайте налична помощна програма за преглед на файлове. Отново може да е малко по-различно в зависимост от това какво е налично в системата. Например в Busybox помощната програма „по-малко“ не е пълната реализация на GNU и като такава липсва функцията „Превъртане напред“ (+ F).

Алтернативата е да се настрои Syslog колектор и сървърите / устройствата на Syslog да изпратят събитията в него.

Предпоставки и предположения

• Устройство, което поддържа отдалечено Syslog-ing. В тази статия ще използваме DD-WRT като пример.
• Syslog използва порт 514 UDP и като такъв трябва да бъде достъпен от устройството, което изпраща информацията до колектора.
• Предполага се, че някои основни мрежови познания.

Настройте колектора на Syslog

За да се събират събитията, трябва да имате Syslog сървър. Въпреки че има множество опции като „Kiwi“ и „PRTG“, за да споменем няколко, избрахме да използваме „Syslog Watcher“.

Забележка: Препоръчва се сървърът за събиране да използва IP адрес, който няма да се промени, или чрез статично присвояване, или чрез запазване в DHCP..

• Изтеглете най-новия наблюдател на Syslog.
• Инсталирайте по обичайния начин "следващ -> следващ -> завърши".
• Отворете програмата от менюто "Старт".
• Когато бъдете подканени да изберете режима на работа, изберете: "Управление на локален Syslog сървър".
• Ако бъдете подканени от Windows UAC, одобрете заявката за администраторски права.
• Стартирайте услугата, като щракнете върху огромния бутон „Play“ в горния ляв ъгъл.

Въпреки че можете да конфигурирате програмата, например, както е показано във видеоуроците, нямате и това, което е готово да стартирате..

Настройте подателя на Syslog

Както бе посочено по-горе, ще използваме DD-WRT за този пример. С това каза, отдалеченото Syslog-ing е способност, поддържана от повечето уважаващи себе си устройства / операционни системи. Консултирайте се с документацията как да го настроите.

На DD-WRT:

• Отидете в webGUI и изберете „Услуги“.
• Поставете отметка в квадратчето Активиране за „Syslogd“.
  
•  В текстовото поле Remote Server поставете IP / DNS на събиращия сървър.
• Запаметете и приложите, за да се повлияят настройките.

Това е то… вашият Syslog Watcher трябва да започне да се населява от системни събития.

Например, ако сте приложили нашето ръководство „Как да премахнете рекламите с Pixelserv на DD-WRT“, ще можете да видите нещо като по-долу:

Наслади се :)

Не се опитвайте да управлявате дистанционно всички космически мостове…: P