Как удаленно собирать события сервера, используя системный журнал

Вы когда-нибудь хотели, чтобы вместо необходимости вручную входить на сервер для просмотра системного журнала события просто приходили к вам? How-To Geek рассказывает, как настроить сборщик системного журнала.

обзор

Системный журнал используется на различных серверах / устройствах для предоставления системной информации системному администратору. Это Вики:

Syslog является стандартом для регистрации компьютерных данных. Это позволяет отделить программное обеспечение, которое генерирует сообщения от системы, которая их хранит, и программное обеспечение, которое сообщает и анализирует их.

Системный журнал можно использовать для управления компьютерной системой и аудита безопасности, а также для обобщенных информационных, аналитических и отладочных сообщений. Он поддерживается многими устройствами (например, принтерами и маршрутизаторами) и приемниками на разных платформах. В связи с этим системный журнал можно использовать для интеграции данных журнала из множества различных типов систем в центральное хранилище..

Чтобы использовать эту информацию, можно:

1. Подключитесь к серверу / устройству. Где, как, может меняться от устройства к устройству и, если возможно, вообще от того, где находится администратор по отношению к брандмауэру, защищающему актив.
2. Найдите файл системного журнала. Который может быть в немного другом месте в зависимости от системы / устройства, к которому осуществляется доступ. Например, в Debian это «/ var / log / syslog», а в DD-WRT это «/ var / log / messages» (почти как если бы вас назло…).
3. Используйте доступную утилиту для просмотра файлов. Снова может немного отличаться в зависимости от того, что доступно в системе. Например, в Busybox утилита «less» не является полной реализацией GNU, и поэтому отсутствует функция «Scroll forward» (+ F).

Альтернативой может быть установка сборщика системного журнала и отправка на него серверов / устройств системного журнала..

Предпосылки и предположения

• Устройство, которое поддерживает удаленный системный журнал. В этой статье мы будем использовать DD-WRT в качестве примера.
• Системный журнал использует порт 514 UDP, и поэтому он должен быть доступен с устройства, отправляющего информацию сборщику..
• Некоторые базовые сети знают, как предполагается.

Настройте сборщик Syslog

Чтобы собрать события, нужно иметь сервер Syslog. Хотя существует множество опций, таких как «Киви» и «PRTG», чтобы упомянуть некоторые, мы решили использовать «Syslog Watcher».

Примечание. Рекомендуется, чтобы собирающий сервер использовал IP-адрес, который не изменится, статически назначая его или резервируя его в DHCP..

• Загрузите последнюю версию Syslog Watcher.
• Установите обычным способом «следующий -> следующий -> закончить».
• Откройте программу из меню «Пуск».
• Когда будет предложено выбрать режим работы, выберите: «Управление локальным сервером системного журнала»..
• По запросу Windows UAC утвердите запрос прав администратора..
• Запустите сервис, нажав огромную кнопку «Play» в левом верхнем углу.

Хотя вы можете дополнительно настроить программу, например, как показано в видеоуроках, у вас ее нет и она готова к работе..

Настройте отправителя системного журнала

Как указано выше, мы будем использовать DD-WRT для этого примера. При этом удаленный системный журнал является возможностью, поддерживаемой большинством уважающих себя устройств / ОС. Консультируйтесь с документацией относительно того, как настроить это.

На DD-WRT:

• Зайдите в webGUI и выберите «Услуги».
• Установите флажок Включить для «Syslogd».
  
•  В текстовом поле «Удаленный сервер» укажите IP / DNS сервера сбора..
• Сохранить и применить, чтобы настройки вступили в силу.

Вот и все ... ваш Syslog Watcher должен начать заполняться системными событиями.

Например, если вы внедрили наше руководство «Как удалить рекламу с помощью Pixelserv на DD-WRT», вы сможете увидеть что-то вроде следующего:

Наслаждаться :)

Не пытайтесь удаленно управлять космическими мостами ...: P