Startpagina » hoe » Hoe Server-evenementen op afstand te verzamelen met behulp van Syslog

    Hoe Server-evenementen op afstand te verzamelen met behulp van Syslog

    Heb je ooit gewenst dat in plaats van handmatig in te loggen op een server om het systeemlog te zien, de gebeurtenissen eenvoudig naar je toe zouden komen? How-To Geek gaat in op het opzetten van een syslog-verzamelaar.

    Overzicht

    Syslog wordt gebruikt op verschillende servers / apparaten om systeeminformatie te geven aan de systeembeheerder. Het is Wiki-vermelding:

    syslog is een standaard voor het loggen van computergegevens. Hiermee kunt u de software scheiden die berichten genereert van het systeem waarin ze worden opgeslagen en de software die deze rapporteert en analyseert.

    Syslog kan worden gebruikt voor computersysteembeheer en beveiligingsauditing, evenals algemene informatie-, analyse- en foutopsporingsberichten. Het wordt ondersteund door een breed scala aan apparaten (zoals printers en routers) en ontvangers op meerdere platforms. Hierdoor kan syslog worden gebruikt om loggegevens van veel verschillende soorten systemen te integreren in een centrale opslagplaats.

    Om die informatie te onttrekken, kan men:

    1. Maak verbinding met de server / het apparaat. Waar het hoe kan veranderen van apparaat naar apparaat en indien mogelijk helemaal van waar de beheerder zich bevindt ten opzichte van de firewall die het activum beschermt.
    2. Zoek het Syslog-bestand. Welke op een enigszins andere locatie kan zijn, afhankelijk van het systeem / apparaat dat wordt gebruikt. Bijvoorbeeld, op Debian is dit "/ var / log / syslog" en op DD-WRT is het "/ var / log / messages" (bijna alsof je alleen maar wordt gestoord ...).
    3. Gebruik een beschikbaar bestandshulpprogramma. Ook hier kan het enigszins anders zijn, afhankelijk van wat beschikbaar is op het systeem. Bijvoorbeeld op Busybox is het "minder" hulpprogramma niet de volledige GNU-implementatie en mist als zodanig de functie "Scroll vooruit" (+ F).

    Het alternatief zou zijn om een ​​Syslog-verzamelaar in te stellen en de Syslog-ing servers / apparaten de gebeurtenissen ernaar toe te sturen.

    Vereisten en veronderstellingen

    • Een apparaat dat remote Syslog-ing ondersteunt. In dit artikel gebruiken we DD-WRT als een voorbeeld.
    • Syslog gebruikt poort 514 UDP en moet daarom bereikbaar zijn vanaf het apparaat dat de informatie naar de verzamelaar verzendt.
    • Sommige basisnetwerken weten hoe wordt aangenomen.

    Stel de Syslog-verzamelaar in

    Om de evenementen te verzamelen, moet je een Syslog-server hebben. Hoewel er een groot aantal opties zoals "Kiwi" en "PRTG" zijn om er een paar te noemen, hebben we ervoor gekozen om "Syslog Watcher" te gebruiken.

    Opmerking: het wordt aanbevolen dat de verzamelserver een IP gebruikt die niet wordt gewijzigd, door deze statisch toe te wijzen of te reserveren in DHCP.

    • Download de nieuwste Syslog Watcher.
    • Installeer in de normale "volgende -> volgende -> afwerking" mode.
    • Open het programma vanuit het "startmenu".
    • Wanneer u wordt gevraagd om de werkmodus te selecteren, selecteert u: "Beheer lokale Syslog-server".
    • Als u daarom wordt gevraagd door Windows UAC, moet u de aanvraag voor beheerdersrechten goedkeuren.
    • Start de service door linksboven op de enorme "Play" -knop te klikken.

    Hoewel je het programma verder zou kunnen configureren, bijvoorbeeld, zoals te zien is in de videohandleidingen, hoef je het ook niet en is het klaar om te rollen.

    Stel de Syslog-afzender in

    Zoals hierboven vermeld, zullen we DD-WRT gebruiken voor dit voorbeeld. Met dat gezegd, is remote Syslog-ing een mogelijkheid die wordt ondersteund door de meeste zelfrespecterende apparaten / besturingssystemen. Raadpleeg de documentatie voor het instellen ervan.

    Op DD-WRT:

    • Ga naar de webGUI en selecteer "Services".
    • Schakel het selectievakje Inschakelen in voor "Syslogd".
    •  Plaats in het tekstvak Remote Server het IP / DNS van de verzamelserver.
    • Opslaan & Toepassen om de instellingen van kracht te laten worden.

    Dat is het ... uw Syslog Watcher zou moeten worden bevolkt door systeemgebeurtenissen.

    Als u bijvoorbeeld onze gids 'Hoe advertenties verwijderen met Pixelserv op DD-WRT' heeft geïmplementeerd, kunt u iets van het onderstaande zien:

    Genieten :)


    Probeer geen ruimtebruggen op afstand te bedienen ...: P