วิธีการรวบรวมเหตุการณ์เซิร์ฟเวอร์จากระยะไกลโดยใช้ Syslog
คุณเคยคิดไหมว่าแทนที่จะต้องลงชื่อเข้าใช้เซิร์ฟเวอร์ด้วยตนเองเพื่อที่จะดูบันทึกของระบบเหตุการณ์ก็จะเข้ามาหาคุณ? วิธีการ Geek เข้าไปในวิธีการตั้งค่าสะสม syslog.
ภาพรวม
Syslog ใช้บนเซิร์ฟเวอร์ / อุปกรณ์ต่าง ๆ เพื่อให้ข้อมูลระบบแก่ผู้ดูแลระบบ ออกเป็นรายการ Wiki:
syslog เป็นมาตรฐานสำหรับการบันทึกข้อมูลคอมพิวเตอร์ อนุญาตให้แยกซอฟต์แวร์ที่สร้างข้อความจากระบบที่จัดเก็บพวกเขาและซอฟต์แวร์ที่รายงานและวิเคราะห์พวกเขา.
Syslog สามารถใช้สำหรับการจัดการระบบคอมพิวเตอร์และการตรวจสอบความปลอดภัยเช่นเดียวกับข้อมูลทั่วไปการวิเคราะห์และการตรวจแก้จุดบกพร่องข้อความ ได้รับการสนับสนุนจากอุปกรณ์ที่หลากหลาย (เช่นเครื่องพิมพ์และเราเตอร์) และตัวรับสัญญาณในหลายแพลตฟอร์ม ด้วยเหตุนี้ syslog จึงสามารถใช้เพื่อรวมข้อมูลบันทึกจากระบบหลายประเภทในที่เก็บส่วนกลาง.
เพื่อแตะข้อมูลนั้นสามารถทำได้:
- เชื่อมต่อกับเซิร์ฟเวอร์ / อุปกรณ์ วิธีสามารถเปลี่ยนจากอุปกรณ์หนึ่งไปยังอีกอุปกรณ์หนึ่งได้และถ้าเป็นไปได้จากที่ที่ผู้ดูแลระบบเกี่ยวข้องกับไฟร์วอลล์ที่ปกป้องทรัพย์สิน.
- ค้นหาไฟล์ Syslog ซึ่งอาจอยู่ในตำแหน่งที่แตกต่างกันเล็กน้อยขึ้นอยู่กับระบบ / อุปกรณ์ที่กำลังเข้าถึง ตัวอย่างเช่นบน Debian นี่คือ“ / var / log / syslog” และบน DD-WRT มันคือ“ / var / log / messages” (เกือบจะเหมือนกับที่คุณแม้ว่าคุณจะ…).
- ใช้ยูทิลิตีการดูไฟล์ที่มีอยู่ อีกครั้งอาจแตกต่างกันเล็กน้อยขึ้นอยู่กับสิ่งที่มีอยู่ในระบบ ตัวอย่างเช่นบน Busybox ยูทิลิตี้“ น้อย” ไม่ใช่การนำ GNU มาใช้อย่างสมบูรณ์และเช่นนี้จะไม่มีฟังก์ชั่น“ เลื่อนไปข้างหน้า” (+ F).
ทางเลือกอื่นคือการตั้งค่าตัวรวบรวม Syslog และให้เซิร์ฟเวอร์ / อุปกรณ์ Syslog-ing ส่งกิจกรรมไปให้.
ข้อกำหนดเบื้องต้นและข้อสมมติฐาน
- อุปกรณ์ที่รองรับ Syslog-ing ระยะไกล ในบทความนี้เราจะใช้ DD-WRT เป็นตัวอย่าง.
- Syslog ใช้พอร์ต 514 UDP และต้องสามารถเข้าถึงได้จากอุปกรณ์ที่ส่งข้อมูลไปยังตัวรวบรวม.
- เครือข่ายพื้นฐานบางอย่างรู้วิธีสันนิษฐาน.
ตั้งค่าตัวรวบรวม Syslog
เพื่อรวบรวมเหตุการณ์หนึ่งต้องมีเซิร์ฟเวอร์ Syslog ในขณะที่มีตัวเลือกมากมายเช่น“ Kiwi” และ“ PRTG” เพื่อพูดถึงบางอย่างเราเลือกใช้“ Syslog Watcher“.
หมายเหตุ: ขอแนะนำให้เซิร์ฟเวอร์รวบรวมจะใช้ IP ที่จะไม่เปลี่ยนแปลงไม่ว่าจะโดยการกำหนดแบบคงที่หรือสำรองไว้ใน DHCP.
- ดาวน์โหลด Syslog Watcher ล่าสุด.
- ติดตั้งตามปกติ“ ถัดไป -> ถัดไป -> เสร็จสิ้น”.
- เปิดโปรแกรมจาก "เมนูเริ่มต้น".
- เมื่อได้รับแจ้งให้เลือกโหมดการทำงานให้เลือก:“ จัดการเซิร์ฟเวอร์ Syslog ท้องถิ่น”.
- หากได้รับแจ้งจาก Windows UAC ให้อนุมัติคำขอสิทธิ์ระดับผู้ดูแล.
- เริ่มบริการโดยคลิกปุ่ม“ เล่น” ขนาดใหญ่ที่ด้านบนซ้าย.
ในขณะที่คุณสามารถกำหนดค่าโปรแกรมเพิ่มเติมได้ตัวอย่างเช่นตามที่แสดงในบทแนะนำวิดีโอคุณไม่มีเช่นกันและพร้อมที่จะย้อน.
ตั้งค่าผู้ส่ง Syslog
ตามที่ระบุไว้ข้างต้นเราจะใช้ DD-WRT สำหรับตัวอย่างนี้ จากที่กล่าวมา Syslog-ing ทางไกลนั้นเป็นความสามารถที่ได้รับการสนับสนุนจากอุปกรณ์ / OS ศึกษาเอกสารประกอบเกี่ยวกับวิธีการตั้งค่า.
ใน DD-WRT:
- ไปที่ webGUI แล้วเลือก“ บริการ”.
- เลือกช่องทำเครื่องหมายเปิดใช้งาน“ Syslogd”.
- ในกล่องข้อความเซิร์ฟเวอร์ระยะไกลใส่ IP / DNS ของเซิร์ฟเวอร์การรวบรวม.
- บันทึกและนำไปใช้สำหรับการตั้งค่าที่จะมีผล.
นั่นคือ… Syslog Watcher ของคุณควรเริ่มรับประชากรจากเหตุการณ์ของระบบ.
ตัวอย่างเช่นหากคุณใช้งานคำแนะนำ“ วิธีลบโฆษณาด้วย Pixelserv ใน DD-WRT” ของเราคุณจะสามารถเห็นสิ่งต่าง ๆ ดังต่อไปนี้:
สนุก :)
อย่าพยายามใช้สะพานอวกาศใด ๆ จากระยะไกล…: P