14Sep

Comment collecter à distance des événements de serveur à l'aide de Syslog

Avez-vous déjà souhaité qu'au lieu d'avoir à vous connecter manuellement à un serveur pour voir le journal du système, les événements viendraient simplement à vous? How-To Geek explique comment configurer un collecteur Syslog.

Présentation

Syslog est utilisé sur divers serveurs / périphériques pour fournir des informations système à l'administrateur système. C'est l'entrée Wiki:

Syslog est un standard pour l'enregistrement de données informatiques. Il permet de séparer le logiciel qui génère les messages du système qui les stocke et le logiciel qui les signale et les analyse.

Syslog peut être utilisé pour la gestion du système informatique et l'audit de sécurité, ainsi que pour les messages d'information, d'analyse et de débogage généralisés. Il est pris en charge par une grande variété de périphériques( comme les imprimantes et les routeurs) et de récepteurs sur plusieurs plates-formes. Pour cette raison, syslog peut être utilisé pour intégrer des données de journal provenant de différents types de systèmes dans un référentiel central.

Afin de puiser cette information, on pourrait:

  1. Se connecter au serveur / périphérique. Où le comment, peut changer d'un appareil à l'autre et si possible à partir de l'endroit où l'administrateur est en relation avec le pare-feu protégeant l'actif.
  2. Recherchez le fichier Syslog. Ce qui pourrait être dans un endroit légèrement différent en fonction du système / dispositif auquel on accède. Par exemple, sur Debian c'est "/var/log/ syslog" et sur DD-WRT ses "messages /var/log/"( presque comme pour vous contrarier. ..).
  3. Utilisez un utilitaire de visualisation de fichiers disponible. Encore une fois pourrait être légèrement différente en fonction de ce qui est disponible sur le système. Par exemple, sur Busybox, l'utilitaire "less" n'est pas l'implémentation complète de GNU et la fonction "Scroll forward"( + F) n'est donc pas disponible.

L'alternative serait d'installer un collecteur Syslog et de lui envoyer les événements par les serveurs / périphériques Syslog.

Prérequis &Hypothèses

  • Périphérique prenant en charge le Sysloging distant. Dans cet article, nous utiliserons DD-WRT comme exemple.
  • Syslog utilise le port 514 UDP, et en tant que tel, il doit être accessible depuis le périphérique qui envoie les informations au collecteur.
  • Certaines connaissances de base en réseau sont supposées.

Configurer le collecteur Syslog

Pour collecter les événements, il faut avoir un serveur Syslog. Alors qu'il existe une multitude d'options comme "Kiwi" et "PRTG" pour n'en citer que quelques-unes, nous avons choisi d'utiliser "Syslog Watcher".

Remarque: Il est recommandé que le serveur de collecte utilise une adresse IP qui ne changera pas, soit en l'assignant de manière statique, soit en la réservant dans DHCP.

  • Téléchargez le dernier Syslog Watcher.
  • Installer dans le "" suivant - & gt;suivant - & gt;finir "la mode.
  • Ouvrez le programme depuis le "menu Démarrer".
  • Lorsque vous êtes invité à sélectionner le mode de fonctionnement, sélectionnez: "Gérer le serveur Syslog local".
  • Si vous êtes invité par Windows UAC, approuvez la demande de droits d'administration.
  • Démarrez le service en cliquant sur l'énorme bouton "Play" en haut à gauche.

Bien que vous puissiez configurer davantage le programme, par exemple, comme indiqué dans les didacticiels vidéo, vous n'en avez pas trop et il est prêt à être lancé.

Configuration de l'expéditeur Syslog

Comme indiqué ci-dessus, nous utiliserons DD-WRT pour cet exemple. Cela dit, le Syslog-ing à distance est une fonctionnalité supportée par la plupart des systèmes / OS compatibles. Consultez la documentation pour savoir comment le configurer.

Sur DD-WRT:

  • Allez sur le webGUI et sélectionnez "Services".
  • Cochez la case Activer pour "Syslogd".
  • Dans la zone de texte Serveur distant, placez l'adresse IP / DNS du serveur de collecte.
  • Enregistrer &Appliquer pour les paramètres pour prendre effet.

C'est ça. .. votre Syslog Watcher devrait commencer à être peuplé par les événements du système.

Par exemple, si vous avez implémenté notre guide "Comment supprimer les publicités avec Pixelserv sur DD-WRT", vous pourrez voir quelque chose comme le suivant:

Enjoy:)

N'essayez pas d'utiliser à distance des ponts spatiaux...: P