Linuxシステムにsyslogサーバー

  
をインストールする方法ログは管理者にとって非常に役立ちますが、多くのログは非常に面倒です。特にセキュリティ関連の問題で、一部のイベントが正しく実行されない場合、ロギングはトラブルシューティングに重要になる可能性があります。しかし攻撃者があなたのホストに危害を加えた場合、ログはこれがホストにとって有用であることをあなたに伝えます;あなたはメッセージをデータセンターに送る必要があります。ログを保護することは非常に重要です、そして、中央のログサーバーはそれらを管理し、分析し、そして見つけるのをより簡単にします。これに応えて、1つのホスト上の複数のホスト、つまりLinux上の中央syslogサーバーのシステムログを一元的に収集する方法を説明します。

まず、すべての集中Syslogサーバホストは、安全で硬化を構築する必要があります。あなたのログを保護し、一元管理することについてホストには何もありません。次に、ホストからログを取得する方法を教えてください。

はのは、中央のsyslogサーバーをインストールしてみましょう。 rSyslogを使用する場合は、実際の標準Linuxシステムログの例を示します。 UbuntuとRed Hatはしばしばそれを使用し、ファイル/etc/rsyslog.confを通してそれを管理します。このファイルには、特別なシステムログがいくつか含まれています。コンソール、ファイル、その他のログです。すべての

まず、我々は、システムログをサポートするために、適切なTCPおよびUDPプラグインをロードする必要があります。ヘッドrsyslog.confに次のコードを追加します

$ modloadimtcp

$ modloadimudp

$では、TCPサーバーの実行10514

$ UDPを置きますサーバーの実行514

ロードされたモジュールは、TCPおよびUDPポートの監視の両方をサポートすることができ、この場合には、イベントを受信するポートを指定するには、ポート514 TCPおよびUDPポート10514を使用します。あなたは今、私たちはrsyslogのアンプ入力イベントであるに伝えるためにいくつかのルールを指定する必要があります(あなたのホストと中央のsyslogサーバのファイアウォール間の)ローカルファイアウォール

をチェックする必要があります。ルールを追加しないと、入力イベントはローカルのルールに従って処理され、ローカルホストのイベントと絡み合います。私たちは、ローカル処理を必要とし、システムログは、例えば、上記のセクションを加えた後、このルールに指定された修正するために前に:

場合、ホストipisequal「192.168.0.2」から$、その後は/var /log /192.168.0.2.log

&〜

ここでは、192.168.0.2のシステムログから一人一人が/var/log/192.168.0.2.logファイルに保持されなければならないと言います。 &〜記号は、メッセージの処理を停止するようにrSyslogに指示するため、非常に重要です。忘れた場合、メッセージは次のルールを通過して処理を続行します。この規則には他にも変数があります。たとえば、次のように

は、ホストipstart急がせるから$ 192.168.'thenは/var /log /192.168.log

&#038であれば、〜

192.168 *ここでは、置き換え。これで始まるすべてのIPアドレスは/var/log/192.168.logファイルに書き込まれます。他にもいくつかのフィルタを見ることができます。

あなたは私たちが新しい設定を有効にするにはrsyslogのサービスを再起動する必要があります。

$ sudoのサービサーは、我々はまた、現在、送信元のホストを

を開始syslogre 、ファイルの先頭に、ファイルrsyslog.confにいくつかの変更を加える必要があり、次の行:.

すべてのイベントに送信されます* * @@ 192.168.0.1:10514

を追加すべてのソースコードとすべての重要なレベル(*。*付き)から、TCPプロトコルをIPアドレス192.168.0.1のポート10514に渡します。このIPアドレスをご使用の環境のアドレスに置き換えることができます。この設定を有効にするには、ホスト上でrSyslogを再起動する必要があります。あなたは、さらにSSL経由でシステムログを送信
/TLSを
することができます。インターネットや他のネットワーク間でシステムログを転送しても問題はありません。簡単な説明があるかもしれません。

今、(あなたはこれを使用しない場合、またはあなたがCfengineはパペットツールを試すことができます)あなたは、構成管理システムを与える場合は、この設定を追加するには、あなたは効果的に各を設定するには、適切なシステムログを使用することができますログが中央のsyslogサーバーに送信されることを確認するためのホスト。
Copyright © Windowsの知識 All Rights Reserved