Configure Syslog Server on Windows

Syslog

Syslog, veri merkezinde (datacenter) çoğu aygıt ve işletim sistemi tarafından kullanılır. Sistem yönetimi, güvenlik, hata ayıklama, işletim sistemi veya uygulama hataları ile ilgili mesajlar içerir. Syslog yalnızca tüm Linux ve Unix tabanlı işletim sistemleri tarafından desteklenmez aynı zamanda ağ aygıtları (router, switch ve firewall gibi), depolama aygıtları ve yazıcılar gibi aygıtlar tarafından da desteklenir.

Syslog, günlük verileri hem veri merkezi genelinde hem de koruma ve analiz için tek bir yerde birleştirmenin mükemmel bir yoludur. Syslog verilerinin analizi oldukça kritik öneme sahiptir. Bu veriler incelediğinde güvenlik denetimi (security auditing), sorun giderme (troubleshooting) ve hatalı yapılandırmalar (identifying misconfigurations) ile alakalı fikir sahibi olunabilir. Bununla birlikte depolama yapılandırmaları (storage configuration), depolama güvenliği (storage security) ve hatta depolama performansı (storage performance) sorunlarını gidermek için bile yararlıdır. Veri merkezindeki birçok aygıt (Cisco router ve switch gibi) geçmişteki syslog iletilerini depolamaz. Bu nedenle bu verileri birleştirmek ve kayıt altına almak çok önemlidir. Eğer ki, bir sebepten dolayı router veya switch çalışamaz hale gelirse (güç kesintisi ya da arızalanma gibi), verilerin geri getirilmesi imkansızdır. Verilerin düzenli depolanması adına merkezi log yönetim (Log Management) yazılımı kullanmak iyi bir tercih olabilir.

Syslog iletileri gönderen her aygıt bunu yapmak için bir ajan (agent) kullanır. Ajanlardan gelen mesajlar merkezi bir sistem günlüğü sunucusuna gönderilir. Syslog yapısı itibariyle Facility ve Priority olmak üzere ikiye ayrılır diyebiliriz. Kısaca bu iki yapıdan bahsetmek gerekirse; Facility, hangi tip log tutulacağını belirler. Priority ise ilgili tipe ait ne detayda log tutulacağını belirler.

Her syslog mesajı, mesaj üreten yazılımın türünü tanımlamak için kullanılan belirli bir “Facility Code” ile gönderilir. Default syslog mesajı – auth, authpriv, daemon, cron, ftp, lpr, kern, mail, news, syslog, user, uucp, local0 – local7 gibi parametrelerden oluşur. Bu mesajlar bir önem derecesine atanır (Priority) – Emergency, Alert, Critical, Error, Warning, Notice, Info, Debug. Linux’ta syslog mesajları genellikle / var / log’da depolanır. Çoğu Linux işletim sistemi logger adlı günlük dosyasına veri göndermek için bir komut satır aracı barındırır (command line tool).

Önemli Not: Syslog protokolü gönderilen-alınan logları şifrelemez. Wireshark veya benzeri bir sniffer (dinleme) aracılığıyla dinlenirse tüm loglar izlenebilir ve değiştirilebilir. Bu noktada verilerin TLS (Transport Layer Security) üzerinden iletimi çok önemlidir. 

Syslog – Windows Server OS

Linux işletim sisteminin aksine Windows işletim sistemi Syslog Server a veri gönderme yeteneğine sahip değildir. Syslog agent olmadan Windows OS verileri server a iletemez ve Windows OS üzerinde çalışan herhangi bir uygulamadan (web server ya da database) syslog iletileri gönderilmez.

Syslog Agent Options for Windows 2012

Syslog server verilerinin veya syslog host verilerinin toplanıp bir Syslog server a gönderilmesi için bir collector e (toplayıcı) ihtiyacınız yoktur. İhtiyacınız olan tek şey bir agent tır. Makalenin devamında Datagram SyslogAgent ile bir test işlemi gerçekleştirilmiş ve izlemeniz gereken adımlar anlatılmıştır.

Datagram SyslogAgent

Datagram SyslogAgent adresinden download sekmesi altına gidip “Datagram Syslog Agent 64-bit” linkini indiriyoruz. İndirme işlemi tamamlandığında SyslogAgent ın Windows Server üzerine kurulumunu yapıyoruz.

SyslogAgentConfig dosyasını çalıştırıyoruz ve Service status Install diyoruz. Bu, agent için Windows servisini yaratacaktır. Syslog Server IP adresini girip UDP 514 portu üzerinden verilerimizi göndereceğiz.

Gönderilen verinin Event Viewer da hangi seçim altında gözükmesini istiyorsak onu seçiyoruz. Genellikle tavsiye edilen System Logs dur. Opsiyonel olarak Application logs ayarlarını da düzenleyebilirsiniz. Tüm konfigurasyonları tamamladıktan sonra servisi start ediyoruz.

Syslog Agent çalışmaya başladıysa Syslog Server ı kontrol ediniz, bakalım Windows Server syslog iletileri geliyor mu?

Kaynak