de syslog en el sistema Linux Los registros son muy útiles para los administradores, pero muchos registros son muy molestos. El registro puede ser crítico para solucionar problemas cuando algunos eventos se ejecutan incorrectamente, especialmente en problemas relacionados con la seguridad. Pero si el atacante daña a su host, el registro le dirá que esto es útil para el host, debe enviar un mensaje al centro de datos. La protección de los registros es muy importante, y un servidor de registro central facilita la administración, el análisis y la búsqueda. En respuesta a esto, le mostraré cómo recopilar de forma centralizada los registros del sistema de varios hosts en un host, a saber, el servidor central de syslog en Linux.
En primer lugar, todos los host de servidor syslog centralizado debe construir una segura y endurecido. No hay nada en el host acerca de proteger y centralizar sus registros. En segundo lugar, ¿cómo puede obtener registros de su host?
vamos a instalar un servidor syslog central. Daré un ejemplo del registro estándar real del sistema Linux si uso rSyslog. Ubuntu y Red Hat a menudo lo usan y lo administran a través del archivo /etc/rsyslog.conf. El archivo contiene una serie de registros especiales específicos del sistema: algunos son de consola, algunos de archivos u otros.
En primer lugar, tenemos que cargar las direcciones TCP y UDP plug-in para apoyar el registro del sistema. Agregue el código siguiente a la cabeza rsyslog.conf:
$ modloadimtcp
$ modloadimudp
$ En puso Servidor TCP Run 10514
$ UDP Ejecutar el servidor 514
módulos cargados pueden apoyar TCP y UDP supervisión de puertos, y para especificar qué puerto para recibir eventos, en este caso, utilice el puerto 514 de TCP y UDP 10514 de. Es necesario comprobar el servidor de seguridad local (entre el anfitrión y el cortafuegos de un servidor central syslog)
Ahora tenemos que especificar algunas de las reglas para contar eventos de entrada del amplificador es rsyslog. Si no agrega ninguna regla, los eventos de entrada se procesarán de acuerdo con las reglas locales y se entrelazarán con los eventos del host local. Necesitamos procesamiento local y antes de los registros del sistema para corregir especificados en esta regla después de la adición del apartado anterior, por ejemplo: si
$ desde el host-ipisequal '192.168.0.2', entonces /var /log /192.168.0.2.log
&~
aquí decimos que cada uno del registro del sistema de 192.168.0.2 se debe mantener en el archivo /var/log/192.168.0.2.log. El símbolo &~ es muy importante porque le dice a rSyslog que deje de procesar mensajes. Si lo olvida, el mensaje pasará a la siguiente regla y continuará el procesamiento. Hay otras variables en esta regla. Por ejemplo: si
$ swith de huésped-ipstart 192.168.'then /var /log /192.168.log
&~
192.168 * Aquí reemplazado. Todas las direcciones IP que comienzan con esto se escriben en el archivo /var/log/192.168.log. También puedes ver algunos otros filtros.
tendrá que reiniciar el servicio rsyslog para activar la nueva configuración que hacemos:
$ sudo administrador syslogre empezamos
ahora, el anfitrión del remitente, también tenga que hacer algunos cambios a la rsyslog.conf archivo, en la parte superior del archivo, agregue la línea siguiente :.
* * @@ 192.168.0.1:10514
que se envía a todos los eventos, Desde todo el código fuente y todos los niveles importantes (con *. *), Pase el protocolo TCP al puerto 10514 con la dirección IP 192.168.0.1. Puede reemplazar esta dirección IP con la dirección de su entorno. Para habilitar esta configuración, deberá reiniciar rSyslog en el host. Puede
/TLS enviar aún más sus registros del sistema a través de SSL. Si transfiere los registros del sistema entre Internet u otras redes, no hay daño, puede encontrar una explicación simple de esto.
Ahora, si se le da un sistema de gestión de la configuración (si no se utiliza esto, o puede probar la herramienta Cfengine de marionetas) para agregar esta configuración, a continuación, se puede utilizar el sistema de registro correspondiente para configurar los distintos sonidos Anfitrión para asegurarse de que sus registros se enviarán al servidor central de syslog.