โฮมเพจ » ทำอย่างไร » วิธีการรวบรวมเหตุการณ์เซิร์ฟเวอร์จากระยะไกลโดยใช้ Syslog

    วิธีการรวบรวมเหตุการณ์เซิร์ฟเวอร์จากระยะไกลโดยใช้ Syslog

    คุณเคยคิดไหมว่าแทนที่จะต้องลงชื่อเข้าใช้เซิร์ฟเวอร์ด้วยตนเองเพื่อที่จะดูบันทึกของระบบเหตุการณ์ก็จะเข้ามาหาคุณ? วิธีการ Geek เข้าไปในวิธีการตั้งค่าสะสม syslog.

    ภาพรวม

    Syslog ใช้บนเซิร์ฟเวอร์ / อุปกรณ์ต่าง ๆ เพื่อให้ข้อมูลระบบแก่ผู้ดูแลระบบ ออกเป็นรายการ Wiki:

    syslog เป็นมาตรฐานสำหรับการบันทึกข้อมูลคอมพิวเตอร์ อนุญาตให้แยกซอฟต์แวร์ที่สร้างข้อความจากระบบที่จัดเก็บพวกเขาและซอฟต์แวร์ที่รายงานและวิเคราะห์พวกเขา.

    Syslog สามารถใช้สำหรับการจัดการระบบคอมพิวเตอร์และการตรวจสอบความปลอดภัยเช่นเดียวกับข้อมูลทั่วไปการวิเคราะห์และการตรวจแก้จุดบกพร่องข้อความ ได้รับการสนับสนุนจากอุปกรณ์ที่หลากหลาย (เช่นเครื่องพิมพ์และเราเตอร์) และตัวรับสัญญาณในหลายแพลตฟอร์ม ด้วยเหตุนี้ syslog จึงสามารถใช้เพื่อรวมข้อมูลบันทึกจากระบบหลายประเภทในที่เก็บส่วนกลาง.

    เพื่อแตะข้อมูลนั้นสามารถทำได้:

    1. เชื่อมต่อกับเซิร์ฟเวอร์ / อุปกรณ์ วิธีสามารถเปลี่ยนจากอุปกรณ์หนึ่งไปยังอีกอุปกรณ์หนึ่งได้และถ้าเป็นไปได้จากที่ที่ผู้ดูแลระบบเกี่ยวข้องกับไฟร์วอลล์ที่ปกป้องทรัพย์สิน.
    2. ค้นหาไฟล์ Syslog ซึ่งอาจอยู่ในตำแหน่งที่แตกต่างกันเล็กน้อยขึ้นอยู่กับระบบ / อุปกรณ์ที่กำลังเข้าถึง ตัวอย่างเช่นบน Debian นี่คือ“ / var / log / syslog” และบน DD-WRT มันคือ“ / var / log / messages” (เกือบจะเหมือนกับที่คุณแม้ว่าคุณจะ…).
    3. ใช้ยูทิลิตีการดูไฟล์ที่มีอยู่ อีกครั้งอาจแตกต่างกันเล็กน้อยขึ้นอยู่กับสิ่งที่มีอยู่ในระบบ ตัวอย่างเช่นบน Busybox ยูทิลิตี้“ น้อย” ไม่ใช่การนำ GNU มาใช้อย่างสมบูรณ์และเช่นนี้จะไม่มีฟังก์ชั่น“ เลื่อนไปข้างหน้า” (+ F).

    ทางเลือกอื่นคือการตั้งค่าตัวรวบรวม Syslog และให้เซิร์ฟเวอร์ / อุปกรณ์ Syslog-ing ส่งกิจกรรมไปให้.

    ข้อกำหนดเบื้องต้นและข้อสมมติฐาน

    • อุปกรณ์ที่รองรับ Syslog-ing ระยะไกล ในบทความนี้เราจะใช้ DD-WRT เป็นตัวอย่าง.
    • Syslog ใช้พอร์ต 514 UDP และต้องสามารถเข้าถึงได้จากอุปกรณ์ที่ส่งข้อมูลไปยังตัวรวบรวม.
    • เครือข่ายพื้นฐานบางอย่างรู้วิธีสันนิษฐาน.

    ตั้งค่าตัวรวบรวม Syslog

    เพื่อรวบรวมเหตุการณ์หนึ่งต้องมีเซิร์ฟเวอร์ Syslog ในขณะที่มีตัวเลือกมากมายเช่น“ Kiwi” และ“ PRTG” เพื่อพูดถึงบางอย่างเราเลือกใช้“ Syslog Watcher“.

    หมายเหตุ: ขอแนะนำให้เซิร์ฟเวอร์รวบรวมจะใช้ IP ที่จะไม่เปลี่ยนแปลงไม่ว่าจะโดยการกำหนดแบบคงที่หรือสำรองไว้ใน DHCP.

    • ดาวน์โหลด Syslog Watcher ล่าสุด.
    • ติดตั้งตามปกติ“ ถัดไป -> ถัดไป -> เสร็จสิ้น”.
    • เปิดโปรแกรมจาก "เมนูเริ่มต้น".
    • เมื่อได้รับแจ้งให้เลือกโหมดการทำงานให้เลือก:“ จัดการเซิร์ฟเวอร์ Syslog ท้องถิ่น”.
    • หากได้รับแจ้งจาก Windows UAC ให้อนุมัติคำขอสิทธิ์ระดับผู้ดูแล.
    • เริ่มบริการโดยคลิกปุ่ม“ เล่น” ขนาดใหญ่ที่ด้านบนซ้าย.

    ในขณะที่คุณสามารถกำหนดค่าโปรแกรมเพิ่มเติมได้ตัวอย่างเช่นตามที่แสดงในบทแนะนำวิดีโอคุณไม่มีเช่นกันและพร้อมที่จะย้อน.

    ตั้งค่าผู้ส่ง Syslog

    ตามที่ระบุไว้ข้างต้นเราจะใช้ DD-WRT สำหรับตัวอย่างนี้ จากที่กล่าวมา Syslog-ing ทางไกลนั้นเป็นความสามารถที่ได้รับการสนับสนุนจากอุปกรณ์ / OS ศึกษาเอกสารประกอบเกี่ยวกับวิธีการตั้งค่า.

    ใน DD-WRT:

    • ไปที่ webGUI แล้วเลือก“ บริการ”.
    • เลือกช่องทำเครื่องหมายเปิดใช้งาน“ Syslogd”.
    •  ในกล่องข้อความเซิร์ฟเวอร์ระยะไกลใส่ IP / DNS ของเซิร์ฟเวอร์การรวบรวม.
    • บันทึกและนำไปใช้สำหรับการตั้งค่าที่จะมีผล.

    นั่นคือ… Syslog Watcher ของคุณควรเริ่มรับประชากรจากเหตุการณ์ของระบบ.

    ตัวอย่างเช่นหากคุณใช้งานคำแนะนำ“ วิธีลบโฆษณาด้วย Pixelserv ใน DD-WRT” ของเราคุณจะสามารถเห็นสิ่งต่าง ๆ ดังต่อไปนี้:

    สนุก :)


    อย่าพยายามใช้สะพานอวกาศใด ๆ จากระยะไกล…: P