Har du noen gang ønsket at i stedet for å måtte logge inn på en server manuelt for å se systemloggen, vil hendelsene ganske enkelt komme til deg? How-To Geek går inn på hvordan du setter opp en syslog-samler.
Oversikt
Syslog brukes på en rekke server / enheter for å gi systeminformasjon til systemadministratoren. Ut er det Wiki-oppføring:
syslog er en standard for dataregistrering. Det tillater separasjon av programvaren som genererer meldinger fra systemet som lagrer dem og programvaren som rapporterer og analyserer dem.
Syslog kan brukes til styring av datasystemerog sikkerhetsrevisjon samt generaliserte informasjons-, analyser- og feilsøkingsmeldinger. Det støttes av et bredt utvalg av enheter (som skrivere og rutere) og mottakere over flere plattformer. På grunn av dette kan syslog brukes til å integrere loggdata fra mange forskjellige typer systemer i et sentralt lager.
For å tappe den informasjonen, kan man:
- Koble til serveren / enheten. Hvor hvordan, kan endres fra enhet til enhet og om mulig i det hele tatt hvor administratoren er i forhold til brannmuren som beskytter eiendelen.
- Finn Syslog-filen. Som kan være på et litt annet sted, avhengig av hvilket system / enhet du får tilgang til. For eksempel, på Debian er dette “/ var / log / syslog” og på DD-WRT er det “/ var / log / meldinger” (nesten som bare for å tro deg…).
- Bruk et tilgjengelig filvisningsverktøy. Igjen kan være litt forskjellig avhengig av hva som er tilgjengelig på systemet. For eksempel på Busybox er “mindre” -verktøyet ikke den fullstendige GNU-implementeringen, og som sådan mangler “Bla framover” (+ F) -funksjonen.
Alternativet vil være å sette opp en Syslog-samler og la de Syslog-serverne / enhetene sende hendelsene til den.
Forutsetninger og antakelser
- En enhet som støtter ekstern Syslog-ing. I denne artikkelen vil vi bruke DD-WRT som eksempel.
- Syslog bruker port 514 UDP, og som sådan må den være tilgjengelig fra enheten som sender informasjonen til samleren.
- Noen grunnleggende nettverk vet hvordan man antar.
Sett opp Syslog-samleren
For å samle hendelsene, må man ha en Syslog-server. Selv om det er mange alternativer som “Kiwi” og “PRTG” for å nevne noen få, valgte vi å bruke “Syslog Watcher”.
Merk: Det anbefales at innsamlingsserveren bruker en IP som ikke vil endres, enten ved å tilordne den statisk eller reservere den i DHCP.
- Last ned den siste Syslog Watcher.
- Installer på vanlig måte "neste -> neste -> ferdig".
- Åpne programmet fra "startmenyen".
- Når du blir bedt om å velge driftsmodus, velger du: “Manage local Syslog server”.
- Hvis du blir bedt om det av Windows UAC, godkjenner forespørselen om administratorrettigheter.
- Start tjenesten ved å klikke på den enorme "Spill" -knappen øverst til venstre.
Mens du kan konfigurere programmet videre, for eksempel som vist i videoopplæringen, har du ikke det, og det er klart til å rulle.
Sett opp Syslog-avsenderen
Som nevnt ovenfor, vil vi bruke DD-WRT for dette eksemplet. Med det sagt er ekstern Syslog-ing en funksjon som støttes av de fleste selv respekterende enheter / operativsystemer. Se i dokumentasjonen for hvordan du konfigurerer den.
På DD-WRT:
- Gå til webGUI og velg “Tjenester”.
- Merk av for Aktiver avkrysningsruten for “Syslogd”.
- I tekstboksen for ekstern server legger du IP / DNS til den samlende serveren.
- Lagre og bruk for innstillingene du vil påvirke.
Det er det ... din Syslog Watcher bør begynne å bli befolket av systemhendelser.
Hvis du for eksempel har implementert veiledningen vår om hvordan du fjerner annonser med Pixelserv på DD-WRT, vil du kunne se noe slik som nedenfor:
Nyt :)
Ikke prøv å fjernstyre noen rombroer ...: P
