So erfassen Sie Server-Ereignisse mit Syslog aus der Ferne
Haben Sie sich jemals gewünscht, dass Sie die Ereignisse nicht einfach manuell bei einem Server anmelden müssen, um das Systemprotokoll zu sehen, sondern die Ereignisse zu Ihnen kommen würden? How-To-Geek beschreibt, wie ein Syslog-Collector eingerichtet wird.
Überblick
Syslog wird auf verschiedenen Servern / Geräten verwendet, um Systeminformationen an den Systemadministrator weiterzuleiten. Aus seinem Wiki-Eintrag:
Syslog ist ein Standard für die Computerdatenprotokollierung. Es ermöglicht die Trennung der Software, die Meldungen generiert, von dem System, in dem sie gespeichert sind, und der Software, die sie meldet und analysiert.
Syslog kann für die Verwaltung von Computersystemen und für die Sicherheitsüberwachung sowie für allgemeine Informationen, Analysen und Debugging-Meldungen verwendet werden. Es wird von einer Vielzahl von Geräten (z. B. Drucker und Router) und Empfängern auf mehreren Plattformen unterstützt. Aus diesem Grund kann mit syslog Protokolldaten aus verschiedenen Systemtypen in ein zentrales Repository integriert werden.
Um diese Informationen abzurufen, könnte man:
- Verbinden Sie sich mit dem Server / Gerät. Wo das Wie, von Gerät zu Gerät wechseln kann und, wenn überhaupt, von wo aus der Administrator sich in Bezug auf die Firewall befindet, die das Asset schützt.
- Suchen Sie die Syslog-Datei. Welches sich an einem etwas anderen Ort befinden kann, abhängig von dem System / Gerät, auf das zugegriffen wird. Unter Debian ist dies beispielsweise „/ var / log / syslog“ und unter DD-WRT „/ var / log / messages“ (fast so, als ob es nur um Sie zu ärgern wäre…).
- Verwenden Sie ein verfügbares Dienstprogramm zum Anzeigen von Dateien. Wiederum kann es etwas anders sein, je nachdem, was auf dem System verfügbar ist. Bei Busybox beispielsweise ist das Dienstprogramm "less" nicht die vollständige GNU-Implementierung und daher fehlt die Funktion "Vorwärtsblättern" (+ F).
Die Alternative wäre, einen Syslog-Collector einzurichten und die Server / Geräte von Sysloging dazu zu bringen, die Ereignisse an ihn zu senden.
Voraussetzungen & Annahmen
- Ein Gerät, das Remote-Sysloging unterstützt. In diesem Artikel verwenden wir DD-WRT als Beispiel.
- Syslog verwendet Port 514 UDP und muss daher von dem Gerät aus erreichbar sein, das die Informationen an den Collector sendet.
- Es wird davon ausgegangen, dass ein grundlegendes Netzwerkwissen vorhanden ist.
Richten Sie den Syslog-Collector ein
Um die Ereignisse zu sammeln, muss man einen Syslog-Server haben. Obwohl es eine Vielzahl von Optionen wie „Kiwi“ und „PRTG“ gibt, um nur einige zu nennen, haben wir uns für „Syslog Watcher“ entschieden..
Hinweis: Es wird empfohlen, dass der Erfassungsserver eine IP-Adresse verwendet, die sich nicht ändert, entweder durch statische Zuweisung oder durch Reservierung in DHCP.
- Laden Sie den neuesten Syslog Watcher herunter.
- Installieren Sie die regulären Modi "next -> next -> finish".
- Öffnen Sie das Programm über das Startmenü.
- Wenn Sie zur Auswahl des Betriebsmodus aufgefordert werden, wählen Sie: "Lokale Syslog-Server verwalten"..
- Wenn Sie von Windows UAC dazu aufgefordert werden, genehmigen Sie die Anforderung der Administratorrechte.
- Starten Sie den Dienst, indem Sie oben links auf die Schaltfläche "Play" klicken.
Sie können das Programm zwar weiter konfigurieren, wie in den Video-Tutorials gezeigt, aber Sie haben es auch nicht und es ist bereit zu rollen.
Richten Sie den Syslog-Sender ein
Wie oben erwähnt, wird für dieses Beispiel DD-WRT verwendet. Damit ist Remote-Sysloging eine Funktion, die von den meisten Geräten / Betriebssystemen mit Selbstachtung unterstützt wird. Konsultieren Sie die Dokumentation zum Einrichten.
Auf DD-WRT:
- Gehen Sie zur webGUI und wählen Sie "Services".
- Aktivieren Sie das Kontrollkästchen Aktivieren für "Syslogd"..
- Geben Sie in das Textfeld Remote Server die IP / DNS des Erfassungsservers ein.
- Speichern und Übernehmen, damit die Einstellungen wirksam werden.
Das ist es… Ihr Syslog Watcher sollte mit Systemereignissen gefüllt werden.
Wenn Sie beispielsweise unsere Anleitung zum Entfernen von Werbeanzeigen mit Pixelserv unter DD-WRT implementiert haben, können Sie etwa Folgendes sehen:
Genießen :)
Versuchen Sie nicht, räumliche Brücken fernzusteuern ...: P