SYSLOG – počúvajte svoju sieť

V sieti sa neustále niečo deje a udalosti sa následne do logov. Aby sme o logy neprišli, môžeme ich posielať na SYSLOG server, kde budú zálohované. Ukážeme si, ako nastaviť SYSLOG server v kombinácii s Cisco routrom.

syslog

Chcete získať 10 návodov na inštaláciu a konfiguráciu služieb na najnovšej verzii Linux Ubuntu 18.04 LTS? Pozrite sa na viac informácii o ebooku LINUX SERVER.

E-BOOK - Linux Server

Logy sú esenciálne napríklad pri hľadaní problému v sieti, alebo pri monitoringu rôznych udalostí na zariadeniach. Napríklad, útočníci sa po vniknutí do systému často snažia zmazať po sebe stopy, avšak, keď logy zálohujeme, bude pre neho náročnejšie po sebe „pozametať“.

SYSLOG je štandard, ktorý zabezpečuje centrálne zhromažďovanie logov zo zariadení. Zariadenia posielajú svoje logy na SYSLOG server, ktorý ich následne ukladá do súborov.

Konfigurácia SYSLOG severa

Ukážeme si príklad nastavenia open-source riešenia RSYSLOG, ktoré bude bežať na  Linuxovej distribúcii Ubuntu 16.04 . V tejto distribúcii je defaultne vstavaný, takže ho netreba inštalovať, ale iba nastaviť a spustiť.

Všetko nastavujeme v konfiguračnom súbore nižšie:

/etc/rsyslog.conf

Odkomentujeme nasledovné riadky

# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")

# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")

Pridáme nasledovné riadky

$template IpTemplate,"/var/log/%FROMHOST-IP%.log"
*.* ?IpTemplate
& ~

Týmto si zvolíme, kam sa budú logy ukladať a formát názvu cieľového súboru. V tomto prípade sa budú súbory nazývať podľa IP adresy zariadenia, z ktorého prichádzajú (X.X.X.X.log). Daný priečinok by mal mať práva na zapisovanie.

Spustenie

Keďže nám táto služba bežala defaultne, len nepríjmala žadne logy, stačí, ak ju iba reštartujeme, aby sa aplikovali naše zmeny v konfigurácii.

service rsyslog restart

Nastavenie odosielania logov na Cisco routri

Nastavíme IP adresu servera a ak je to potrebné, tak aj zdrojovú IP adresu, z ktorej dané zariadenie posiela logy.

R1-NETVEL(config)#logging host 172.16.80.102
R1-NETVEL(config)#logging source-interface Vlan3

Aby logy obsahovali aj správnu časovú značku, je vhodné, aby ste na routri mali nastavený aj NTP server.

Záver

Ako vidíme, ide o jednoduchú implementáciu na strane servera aj na strane zariadenia. Úžitok je pritom obrovský.

Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.

CHCEM ODOBERAŤ ČLÁNKY


Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Táto webová stránka používa Akismet na redukciu spamu. Získajte viac informácií o tom, ako sú vaše údaje z komentárov spracovávané.