วิธีการรวบรวมเหตุการณ์เซิร์ฟเวอร์จากระยะไกลโดยใช้ Syslog

คุณเคยคิดไหมว่าแทนที่จะต้องลงชื่อเข้าใช้เซิร์ฟเวอร์ด้วยตนเองเพื่อที่จะดูบันทึกของระบบเหตุการณ์ก็จะเข้ามาหาคุณ? วิธีการ Geek เข้าไปในวิธีการตั้งค่าสะสม syslog.

ภาพรวม

Syslog ใช้บนเซิร์ฟเวอร์ / อุปกรณ์ต่าง ๆ เพื่อให้ข้อมูลระบบแก่ผู้ดูแลระบบ ออกเป็นรายการ Wiki:

syslog เป็นมาตรฐานสำหรับการบันทึกข้อมูลคอมพิวเตอร์ อนุญาตให้แยกซอฟต์แวร์ที่สร้างข้อความจากระบบที่จัดเก็บพวกเขาและซอฟต์แวร์ที่รายงานและวิเคราะห์พวกเขา.

Syslog สามารถใช้สำหรับการจัดการระบบคอมพิวเตอร์และการตรวจสอบความปลอดภัยเช่นเดียวกับข้อมูลทั่วไปการวิเคราะห์และการตรวจแก้จุดบกพร่องข้อความ ได้รับการสนับสนุนจากอุปกรณ์ที่หลากหลาย (เช่นเครื่องพิมพ์และเราเตอร์) และตัวรับสัญญาณในหลายแพลตฟอร์ม ด้วยเหตุนี้ syslog จึงสามารถใช้เพื่อรวมข้อมูลบันทึกจากระบบหลายประเภทในที่เก็บส่วนกลาง.

เพื่อแตะข้อมูลนั้นสามารถทำได้:

1. เชื่อมต่อกับเซิร์ฟเวอร์ / อุปกรณ์ วิธีสามารถเปลี่ยนจากอุปกรณ์หนึ่งไปยังอีกอุปกรณ์หนึ่งได้และถ้าเป็นไปได้จากที่ที่ผู้ดูแลระบบเกี่ยวข้องกับไฟร์วอลล์ที่ปกป้องทรัพย์สิน.
2. ค้นหาไฟล์ Syslog ซึ่งอาจอยู่ในตำแหน่งที่แตกต่างกันเล็กน้อยขึ้นอยู่กับระบบ / อุปกรณ์ที่กำลังเข้าถึง ตัวอย่างเช่นบน Debian นี่คือ“ / var / log / syslog” และบน DD-WRT มันคือ“ / var / log / messages” (เกือบจะเหมือนกับที่คุณแม้ว่าคุณจะ…).
3. ใช้ยูทิลิตีการดูไฟล์ที่มีอยู่ อีกครั้งอาจแตกต่างกันเล็กน้อยขึ้นอยู่กับสิ่งที่มีอยู่ในระบบ ตัวอย่างเช่นบน Busybox ยูทิลิตี้“ น้อย” ไม่ใช่การนำ GNU มาใช้อย่างสมบูรณ์และเช่นนี้จะไม่มีฟังก์ชั่น“ เลื่อนไปข้างหน้า” (+ F).

ทางเลือกอื่นคือการตั้งค่าตัวรวบรวม Syslog และให้เซิร์ฟเวอร์ / อุปกรณ์ Syslog-ing ส่งกิจกรรมไปให้.

ข้อกำหนดเบื้องต้นและข้อสมมติฐาน

• อุปกรณ์ที่รองรับ Syslog-ing ระยะไกล ในบทความนี้เราจะใช้ DD-WRT เป็นตัวอย่าง.
• Syslog ใช้พอร์ต 514 UDP และต้องสามารถเข้าถึงได้จากอุปกรณ์ที่ส่งข้อมูลไปยังตัวรวบรวม.
• เครือข่ายพื้นฐานบางอย่างรู้วิธีสันนิษฐาน.

ตั้งค่าตัวรวบรวม Syslog

เพื่อรวบรวมเหตุการณ์หนึ่งต้องมีเซิร์ฟเวอร์ Syslog ในขณะที่มีตัวเลือกมากมายเช่น“ Kiwi” และ“ PRTG” เพื่อพูดถึงบางอย่างเราเลือกใช้“ Syslog Watcher“.

หมายเหตุ: ขอแนะนำให้เซิร์ฟเวอร์รวบรวมจะใช้ IP ที่จะไม่เปลี่ยนแปลงไม่ว่าจะโดยการกำหนดแบบคงที่หรือสำรองไว้ใน DHCP.

• ดาวน์โหลด Syslog Watcher ล่าสุด.
• ติดตั้งตามปกติ“ ถัดไป -> ถัดไป -> เสร็จสิ้น”.
• เปิดโปรแกรมจาก "เมนูเริ่มต้น".
• เมื่อได้รับแจ้งให้เลือกโหมดการทำงานให้เลือก:“ จัดการเซิร์ฟเวอร์ Syslog ท้องถิ่น”.
• หากได้รับแจ้งจาก Windows UAC ให้อนุมัติคำขอสิทธิ์ระดับผู้ดูแล.
• เริ่มบริการโดยคลิกปุ่ม“ เล่น” ขนาดใหญ่ที่ด้านบนซ้าย.

ในขณะที่คุณสามารถกำหนดค่าโปรแกรมเพิ่มเติมได้ตัวอย่างเช่นตามที่แสดงในบทแนะนำวิดีโอคุณไม่มีเช่นกันและพร้อมที่จะย้อน.

ตั้งค่าผู้ส่ง Syslog

ตามที่ระบุไว้ข้างต้นเราจะใช้ DD-WRT สำหรับตัวอย่างนี้ จากที่กล่าวมา Syslog-ing ทางไกลนั้นเป็นความสามารถที่ได้รับการสนับสนุนจากอุปกรณ์ / OS ศึกษาเอกสารประกอบเกี่ยวกับวิธีการตั้งค่า.

ใน DD-WRT:

• ไปที่ webGUI แล้วเลือก“ บริการ”.
• เลือกช่องทำเครื่องหมายเปิดใช้งาน“ Syslogd”.
  
•  ในกล่องข้อความเซิร์ฟเวอร์ระยะไกลใส่ IP / DNS ของเซิร์ฟเวอร์การรวบรวม.
• บันทึกและนำไปใช้สำหรับการตั้งค่าที่จะมีผล.

นั่นคือ… Syslog Watcher ของคุณควรเริ่มรับประชากรจากเหตุการณ์ของระบบ.

ตัวอย่างเช่นหากคุณใช้งานคำแนะนำ“ วิธีลบโฆษณาด้วย Pixelserv ใน DD-WRT” ของเราคุณจะสามารถเห็นสิ่งต่าง ๆ ดังต่อไปนี้:

สนุก :)

อย่าพยายามใช้สะพานอวกาศใด ๆ จากระยะไกล…: P