14Sep

Remote-Erfassung von Serverereignissen mithilfe von Syslog

Haben Sie sich jemals gewünscht, dass die Ereignisse einfach zu Ihnen kommen würden, anstatt sich manuell auf einem Server einzuloggen, um das Systemprotokoll zu sehen? How-To Geek geht in die Einrichtung eines Syslog-Collectors.

Übersicht

Syslog wird auf einer Vielzahl von Servern / Geräten verwendet, um dem Systemadministrator Systeminformationen zu geben. Es ist Wiki-Eintrag:

Syslog ist ein Standard für die Computerdatenerfassung. Es ermöglicht die Trennung der Software, die Nachrichten generiert, von dem System, das sie speichert, und der Software, die sie meldet und analysiert.

Syslog kann für die Computersystemverwaltung und Sicherheitsüberwachung sowie für allgemeine Informations-, Analyse- und Debugging-Nachrichten verwendet werden. Es wird von einer Vielzahl von Geräten( wie Druckern und Routern) und Empfängern über mehrere Plattformen hinweg unterstützt. Aus diesem Grund kann syslog verwendet werden, um Protokolldaten von vielen verschiedenen Arten von Systemen in ein zentrales Repository zu integrieren.

Um diese Informationen abzufangen, könnte man:

  1. Mit dem Server / Gerät verbinden. Wo das Wie, kann von Gerät zu Gerät wechseln und wenn überhaupt, wo der Administrator in Bezug auf die Firewall das Asset schützt.
  2. Suchen Sie die Syslog-Datei. Welche sich je nach dem System / Gerät, auf das zugegriffen wird, leicht an einem anderen Ort befinden könnte. Auf Debian ist das zum Beispiel "/var/log/ syslog" und auf DD-WRT seine "/var/log/ messages"( fast so, als ob man nur dich ärgern würde. ..).
  3. Verwenden Sie ein verfügbares Dienstprogramm zum Anzeigen von Dateien. Wieder könnte etwas anders sein, abhängig davon, was auf dem System verfügbar ist. Auf Busybox zum Beispiel ist das "less" -Dienstprogramm nicht die vollständige GNU-Implementierung und als solches fehlt die "Scroll forward"( + F) -Funktion.

Die Alternative wäre, einen Syslog-Collector einzurichten und die Syslog-Server / Geräte die Ereignisse an ihn senden zu lassen.

Voraussetzungen &Annahmen

  • Ein Gerät, das Remote-Sysloging unterstützt. In diesem Artikel verwenden wir DD-WRT als Beispiel.
  • Syslog verwendet Port 514 UDP und muss daher vom Gerät aus erreichbar sein, das die Informationen an den Collector sendet.
  • Einige grundlegende Netzwerkkenntnisse werden vorausgesetzt.

Einrichten des Syslog-Kollektors

Um die Ereignisse zu erfassen, benötigt man einen Syslog-Server. Während es eine Vielzahl von Optionen wie "Kiwi" und "PRTG" gibt, um nur einige zu nennen, haben wir uns für "Syslog Watcher" entschieden.

Hinweis: Es wird empfohlen, dass der Sammelserver eine IP verwendet, die sich nicht ändert, indem er sie statisch zuweist oder in DHCP reserviert.

  • Laden Sie den neuesten Syslog Watcher herunter.
  • Installieren Sie im regulären "next - & gt;nächstes - & gt;beenden "Mode.
  • Öffnen Sie das Programm über das "Startmenü".
  • Wenn Sie aufgefordert werden, den Betriebsmodus auszuwählen, wählen Sie: "Manage local Syslog server".
  • Genehmigen Sie die Administratorrechteanforderung, wenn Sie von der Windows-Benutzerkontensteuerung dazu aufgefordert werden.
  • Starten Sie den Dienst, indem Sie auf den großen "Play" -Button oben links klicken.

Während Sie das Programm zum Beispiel wie in den Videotutorials beschrieben weiter konfigurieren können, haben Sie es nicht zu tun und es ist bereit zu rollen.

Einrichten des Syslog-Senders

Wie bereits erwähnt, verwenden wir DD-WRT für dieses Beispiel. Damit ist Remote Sysloging eine Fähigkeit, die von den meisten selbst respektierenden Geräten / Betriebssystemen unterstützt wird. Sehen Sie in der Dokumentation nach, wie Sie es einrichten.

Auf DD-WRT:

  • Gehen Sie zur WebGUI und wählen Sie "Dienste".
  • Aktivieren Sie das Kontrollkästchen Aktivieren für "Syslogd".
  • Platzieren Sie im Textfeld Remote Server die IP / DNS des Collecting Servers.
  • Speichern &Wenden Sie sich an, damit die Einstellungen wirksam werden.

Das ist es. .. Ihr Syslog-Watcher sollte anfangen, von Systemereignissen aufgefüllt zu werden.

Wenn Sie beispielsweise das Handbuch "Entfernen von Ankündigungen mit Pixelserv in DD-WRT" implementiert haben, können Sie Folgendes sehen:

Enjoy:)

Versuchen Sie nicht, entfernte Space-Bridges zu betreiben...: P