Как удаленно собирать события сервера, используя системный журнал

Вы когда-нибудь хотели, чтобы вместо того, чтобы вручную входить на сервер для просмотра системного журнала, события просто приходили к вам? TutoryBird рассказывает, как настроить сборщик системного журнала.

обзор

Системный журнал используется на различных серверах/устройствах для предоставления системной информации системному администратору. Из этой записи в вики:

Системный журнал – это стандарт регистрации компьютерных данных. Это позволяет отделить программное обеспечение, которое генерирует сообщения от системы, которая их хранит, и программное обеспечение, которое сообщает и анализирует их.

Системный журнал можно использовать для управления компьютерной системой и аудита безопасности, а также для обобщенных информационных, аналитических и отладочных сообщений. Он поддерживается различными устройствами (например, принтерами и маршрутизаторами) и приемниками на разных платформах. По этой причине системный журнал можно использовать для интеграции данных журнала из разных систем в центральный репозиторий.

Чтобы использовать эту информацию, можно:

  1. Подключитесь к серверу/устройству. Где, как, может меняться от устройства к устройству и, если возможно, вообще от того, где находится администратор по отношению к брандмауэру, защищающему актив.
  2. Найдите файл системного журнала. Который может быть в немного другом месте в зависимости от системы/устройства, к которому осуществляется доступ. Например, в Debian это «/ var/log/syslog», а в DD-WRT это «/ var/log/messages» (почти как если бы вас назло…).
  3. Используйте доступную утилиту для просмотра файлов. Опять же может немного отличаться в зависимости от того, что доступно в системе. Например, в Busybox утилита «less» не является полной реализацией GNU, и поэтому отсутствует функция «Прокрутка вперед» (+ F).

Альтернативой может быть установка сборщика системного журнала и передача серверами/устройствами системного журнала событий на него.

Предпосылки и допущения

  • Устройство, которое поддерживает удаленный системный журнал. В этой статье мы будем использовать DD-WRT в качестве примера.
  • Системный журнал использует порт 514 UDP, и поэтому он должен быть доступен с устройства, отправляющего информацию сборщику.
  • Некоторые базовые сети знают, как предполагается.

Настройте сборщик Syslog

Чтобы собрать события, нужно иметь сервер Syslog. Хотя существует множество опций, таких как «Киви» и «PRTG», чтобы упомянуть некоторые, мы решили использовать «Syslog Watcher».

Примечание. Рекомендуется, чтобы собирающий сервер использовал IP-адрес, который не изменится, статическим назначением или резервированием в DHCP.

  • Загрузите последнюю версию Syslog Watcher.
  • Установите обычным способом «следующий -> следующий -> закончить».
  • Откройте программу из меню «Пуск».
  • Когда будет предложено выбрать режим работы, выберите: «Управление локальным сервером системного журнала».
  • По запросу Windows UAC утвердите запрос прав администратора.
  • Запустите сервис, нажав огромную кнопку «Play» в левом верхнем углу.

Хотя вы можете дополнительно настроить программу, например, как показано в видеоуроках, у вас ее тоже нет, и она готова к работе.

Настройте отправителя системного журнала

Как указано выше, мы будем использовать DD-WRT для этого примера. При этом удаленный системный журнал – это возможность, поддерживаемая большинством уважающих себя устройств/ОС. Консультируйтесь с документацией относительно того, как настроить это.

На DD-WRT:

  • Зайдите в webGUI и выберите «Услуги».
  • Установите флажок «Включить» для «Syslogd».
  • В текстовом поле «Удаленный сервер» укажите IP/DNS сервера сбора.
  • Сохранить и применить, чтобы настройки вступили в силу.

Вот и все … ваш Syslog Watcher должен начать заполняться системными событиями.

Например, если вы внедрили наше руководство «Как удалить рекламу с помощью Pixelserv на DD-WRT», вы сможете увидеть что-то вроде следующего:

Наслаждаться 🙂

Не пытайтесь удаленно управлять космическими мостами …: P

Оцените статью
TutoryBird.Ru
Добавить комментарий