Configure Syslog Server on Linux

Sistem yöneticisi olduğunuzu düşünün ve yönetmeniz gereken yaklaşık 40 server olduğunu varsayalım (Mail, Web, Proxy, DNS vs). Bu serverların (remote) yolladığı logları almak için, log server ı nasıl konfigure ederdiniz? Makalenin devamında bu konuyu inceleyeceğiz.

Güvenli sistemlerin sürdürebilirliğinin en önemli parçası, sistem üzerinde gerçekleştirilen aktivitelerin takip edilmesidir. Genelde kullanıcıların sisteme login olduğunda  neler olduğunu biliyorsanız, olağandışı etkinliği belirlemek için log dosyalarını kullanabilirsiniz. /etc/syslog.conf yapılandırma dosyası aracılığıyla syslogd’un kayıtlarını yapılandırabilirsiniz. Syslog deamon, sisteminizdeki tüm logları yönetir ve ağınızdaki diğer sistemlerin log işlemleriyle koordineli çalışır. Syslog için konfigurasyon bilgileri, sistem log dosyalarınızın adlarını ve yerlerini içeren /etc/syslog.conf dosyasında tutulur.

Default sistem, yalnızca local hosttan oluşturulan logları kabul eder. Bu makalede, bir log server yapılandıracağız ve client tarafındaki logları alacağız. Örnek olarak bir linux server ve bir linux client kullanacağız.

  • Linux server IP 192.168.0.254 ve hostname Server
  • Linux client IP 192.168.0.1 ve hostname Client1
  • Her iki linux sistem içinde /etc/hosts dosyasını güncelleyin
  • Portmap ve xinetd servislerini çalıştırın
  • Server üzerindeki firewall u kapatın

Bazı gerekli check adımlarını yapmanız log server konfigurasyonuna başlamadan önce çok yararlı olacaktır.

  • Syslog, portmap, xinetd servislerini kontrol edin
 #setup Select  System service from list [*]portmap [*]xinetd [*]syslog

Log Server

  • xinetd ve portmap servislerini restart edin.
  • Restart olduktan sonra servisleri chkconfig komutuyla on konumuna alın.
  • Servislerin çalışıp çalışmadığını kontrol edin.
  • /etc/sysconfig/syslog dosyasını açın.
  • SYSLOGD_OPTIONS tagını bulun.
  • Client tarafından log almak için SYSLOG_OPTIONS tagına -r ekleyin.
-m 0 disables 'MARK' messages.
-r enables logging from remote machines
-x disables DNS lookups on messages recieved with -r
  • Dosyayı kaydettikten sonra syslog servisine restart atın.

Linux Client

  • Log Server dan ping atın ve /etc/syslog.conf dosyasını açın.
  • Dosyanın en sonuna gidin ve şöyle yazın: user.* @ [ server IP]
  • Dosyayı save ettikten sonra syslog servisine restart atın.
  • Client1 makinasına restart atınızla birlikte loglar log server a iletilmeye başlayacaktır.

Check clients log on Log Server

  • Dosyanın sonunda clientlardan gelen logları görüyor olmalısınız.

Kaynak