Вы когда-нибудь хотели, чтобы вместо того, чтобы вручную входить на сервер для просмотра системного журнала, события просто приходили к вам? TutoryBird рассказывает, как настроить сборщик системного журнала.
обзор
Системный журнал используется на различных серверах/устройствах для предоставления системной информации системному администратору. Из этой записи в вики:
Системный журнал – это стандарт регистрации компьютерных данных. Это позволяет отделить программное обеспечение, которое генерирует сообщения от системы, которая их хранит, и программное обеспечение, которое сообщает и анализирует их.
Системный журнал можно использовать для управления компьютерной системой и аудита безопасности, а также для обобщенных информационных, аналитических и отладочных сообщений. Он поддерживается различными устройствами (например, принтерами и маршрутизаторами) и приемниками на разных платформах. По этой причине системный журнал можно использовать для интеграции данных журнала из разных систем в центральный репозиторий.
Чтобы использовать эту информацию, можно:
- Подключитесь к серверу/устройству. Где, как, может меняться от устройства к устройству и, если возможно, вообще от того, где находится администратор по отношению к брандмауэру, защищающему актив.
- Найдите файл системного журнала. Который может быть в немного другом месте в зависимости от системы/устройства, к которому осуществляется доступ. Например, в Debian это «/ var/log/syslog», а в DD-WRT это «/ var/log/messages» (почти как если бы вас назло…).
- Используйте доступную утилиту для просмотра файлов. Опять же может немного отличаться в зависимости от того, что доступно в системе. Например, в Busybox утилита «less» не является полной реализацией GNU, и поэтому отсутствует функция «Прокрутка вперед» (+ F).
Альтернативой может быть установка сборщика системного журнала и передача серверами/устройствами системного журнала событий на него.
Предпосылки и допущения
- Устройство, которое поддерживает удаленный системный журнал. В этой статье мы будем использовать DD-WRT в качестве примера.
- Системный журнал использует порт 514 UDP, и поэтому он должен быть доступен с устройства, отправляющего информацию сборщику.
- Некоторые базовые сети знают, как предполагается.
Настройте сборщик Syslog
Чтобы собрать события, нужно иметь сервер Syslog. Хотя существует множество опций, таких как «Киви» и «PRTG», чтобы упомянуть некоторые, мы решили использовать «Syslog Watcher».
Примечание. Рекомендуется, чтобы собирающий сервер использовал IP-адрес, который не изменится, статическим назначением или резервированием в DHCP.
- Загрузите последнюю версию Syslog Watcher.
- Установите обычным способом «следующий -> следующий -> закончить».
- Откройте программу из меню «Пуск».
- Когда будет предложено выбрать режим работы, выберите: «Управление локальным сервером системного журнала».
- По запросу Windows UAC утвердите запрос прав администратора.
- Запустите сервис, нажав огромную кнопку «Play» в левом верхнем углу.
Хотя вы можете дополнительно настроить программу, например, как показано в видеоуроках, у вас ее тоже нет, и она готова к работе.
Настройте отправителя системного журнала
Как указано выше, мы будем использовать DD-WRT для этого примера. При этом удаленный системный журнал – это возможность, поддерживаемая большинством уважающих себя устройств/ОС. Консультируйтесь с документацией относительно того, как настроить это.
На DD-WRT:
- Зайдите в webGUI и выберите «Услуги».
-
Установите флажок «Включить» для «Syslogd».
- В текстовом поле «Удаленный сервер» укажите IP/DNS сервера сбора.
- Сохранить и применить, чтобы настройки вступили в силу.
Вот и все … ваш Syslog Watcher должен начать заполняться системными событиями.
Например, если вы внедрили наше руководство «Как удалить рекламу с помощью Pixelserv на DD-WRT», вы сможете увидеть что-то вроде следующего:
Наслаждаться 🙂
Не пытайтесь удаленно управлять космическими мостами …: P