LAB CÀI ĐẶT HỆ THỐNG THU THẬP LOG TẬP TRUNG SYSLOG Các phiên syslog-ng thường gắn thường gắn liền với eventlog Cả eventlog syslog-ng ta download từ website: www.balabit.com Thủ tục cài đặt đơn giản cần phải có linux gcc - chương trình biên dịch ngơn ngữ lập trình cài đặt sẵn để thành công Các bước cài đặt sau: Bước # wget http://www.balabit.com/downloads/files/eventlog/0.2/eventlog-.tar.gz 21:43:01 http://www.balabit.com/downloads/files/eventlog/0.2/eventlog-.tar.gz Resolving www.balabit.com 212.92.18.33 Connecting to www.balabit.com|212.92.18.33|:80 connected HTTP request sent, awaiting response 200 OK Length: unspecified [application/octet-stream] Saving to: `eventlog-.tar.gz' [ ] 312,164 35.3K/s in 8.6s # wget http://www.balabit.com/downloads/files/syslog-ng/sources/2.0/src/syslog-ng 21:46:37 http://www.balabit.com/downloads/files/syslog-ng/sources/2.0/src/syslogResolving www.balabit.com 212.92.18.33 Connecting to www.balabit.com|212.92.18.33|:80 connected HTTP request sent, awaiting response 200 OK Length: unspecified [application/octet-stream] Saving to: `syslog-ng-.tar.gz' [ ] 369,302 15.2K/s in 21s 21:47:00 (17.0 KB/s) - `syslog-ng-.tar.gz' saved [369302] Bước Cài đặt thư viện glib # yum -y install glib* Bước Cài đặt eventlog # tar -zxvf eventlog-.tar.gz # cd eventlog# /configure # make # make install Bước Biến môi trường cần thiết lập: PKG_CONFIG_PATH # export PKG_CONFIG_PATH=/usr/local/lib/pkgconfig/ # vi bash_profile PATH=$PATH:$HOME/bin PKG_CONFIG_PATH=/usr/local/lib/pkgconfig/ export PATH unset uSERNAME Bước Cài syslog-ng# tar -zxvf syslog-ng.tar.gz # cd syslog-ng# /configure sysconfdir=/etc/syslog-ng # make # make install Quá trình cài đặt kết thúc, có file cấu hình mẫu nằm thư mục contrib [root@localhost syslog-ng-]# cd contrib aix-packaging init.d.solaris Makefile.in syslog-ng.conf.HP-UX fedora-packaging init.d.SunOS README syslog-ng.conf.RedHat hpux-packaging init.d.SuSE relogger.pl syslog-ng.conf.SunOS init.d.HP-UX lfs-packaging rhel-packaging syslog-ng.vim init.d.RedHat Makefile syslog2ng init.d.RedHat-7.3 Makefile.am syslog-ng.conf.doc Bước Tạo thư mục syslog-ng /etc copy scripts file cấu hình mẫu đến nơi tương ứng # mkdir /etc/syslog-ng # cp fedora-packaging/syslog-ng.init /etc/init.d/syslog-ng # cp fedora-packaging/syslog-ng.conf /etc/syslog-ng # cp fedora-packaging/syslog-ng.sysconfig /etc/sysconfig/syslog-ng # cp fedora-packaging/syslog-ng.logrotate /etc/logrotate.d/syslog-ng Bước Thay đổi quyền cho file /etc/init.d/syslog-ng # chmod 755 /etc/init.d/syslog-ng Bước Lúc cần tìm vị trí syslog-ng cho init.d script trỏ đến # updatedb # locate syslog-ng | grep bin /usr/local/sbin/syslog-ng # vi /etc/init.d/syslog-ng #exec="/sbin/syslog-ng" exec="/usr/local/sbin/syslog-ng" Bước Dừng syslog khởi tạo syslog-ng # service syslog stop # service syslog-ng start Bước 10 Cấu hình để syslog-ng khởi động lần reboot # chkconfig syslog off # chkconfig syslog-ng on CẤU HÌNH SYSLOG-NG Cấu hình syslog-ng Những hành vi vủa syslog-ng kiếm sốt file cấu hình /etc/syslogng/syslog-ng.conf …… options { sync (0); time_reopen (10); log_fifo_size (1000); long_hostnames (off); use_dns (no); use_fqdn (no); create_dirs (yes); keep_hostname (yes); }; source s_sys { file ("/proc/kmsg" log_prefix("kernel: ")); unix-stream ("/dev/log"); internal(); # udp(ip(0.0.0.0) port(514)); # tcp(ip(0.0.0.0) port(514)); }; destination d_cons { file("/dev/console"); }; destination d_mesg { file("/var/log/messages"); }; destination d_auth { file("/var/log/secure"); }; destination d_mail { file("/var/log/maillog" sync(10)); }; destination d_spol { file("/var/log/spooler"); }; destination d_boot { file("/var/log/boot.log"); }; destination d_cron { file("/var/log/cron"); }; destination d_mlal { usertty("*"); }; #filter f_filter1 { facility(kern); }; filter f_filter2 { level(info emerg) and not facility(mail,authpriv,cron); }; filter f_filter3 { facility(authpriv); }; filter f_filter4 { facility(mail); }; filter f_filter5 { level(emerg); }; filter f_filter6 { facility(uucp) or (facility(news) and level(crit emerg)); }; filter f_filter7 { facility(local7); }; filter f_filter8 { facility(cron); }; #log { source(s_sys); filter(f_filter1); destination(d_cons); }; log { source(s_sys); filter(f_filter2); destination(d_mesg); }; log { source(s_sys); filter(f_filter3); destination(d_auth); }; log { source(s_sys); filter(f_filter4); destination(d_mail); }; log { source(s_sys); filter(f_filter5); destination(d_mlal); }; log { source(s_sys); filter(f_filter6); destination(d_spol); }; log { source(s_sys); filter(f_filter7); destination(d_boot); }; log { source(s_sys); filter(f_filter8); destination(d_cron); }; Cấu hình enableing remote Logging Ta gửi log messages từ linux clients đến syslog-ng server với syslogd Nhưng cách làm khơng an tồn thơng tin bị syslogd truyền UDP packets Đó lý ta cần cài đặt syslog-ng client  Ta cấu hình cách thêm dòng sau vào syslog-ng.conf server phép nhận messages từ remote clients xuất chúng file host source s_remote { tcp(); }; destination d_clients { file ("/var/log/syslog-ng/$DAY.$MONTH.$YEAR/$HOST/ $FACILITY.log"); }; log { source(s_remote); destination(d_clients); };  Trên client host ta tập hợp tất local messages gửi đến remote Thêm vào file /etc/syslog-ng/syslog-ng.conf đoạn code sau: #sample syslog-ng.conf for a remote client source s_local { internal(); unix-stream("/dev/log"); file("/proc/kmsg" log_prefix("kernel: ")); }; destination d_loghost {tcp("10.4.22.222" port(514));}; log { source(s_local); destination(d_loghost); }; Khi thay đổi file syslog-ng cần phải restart syslog-ng # /etc/init.d/syslog-ng restart Kiểm tra trình đẩy log từ client linux syslog-ng server: - Trên syslog-ng client, restart dịch vụ bất kỳ, dùng lệnh su để vào tài khoản - Trên syslog-ng server kiểm tra Cấu hình Syslog-ng nhận log từ Windows Trên Window Để remote Logging Windows Syslog-ng server có nhiều cơng cụ như: Syslogng Agent, SNARE for Windows,…vv Các tool giao tiếp với hệ thống ghi lại kiện Windows tới nhật ký, ghi lại kiện đọc, lọc gửi từ ứng dụng gửi đến syslog-ng server qua giao thức UDP Port 514 Các nhật ký sau lọc theo mục đích lựa chọn người quản trị thông qua mạng, sử dụng giao thức UDP tới server + Cài đặt cấu hình Datagram SyslogAgent + Cài đặt cấu hình SNARE for Windows: Cấu hình syslog-ng server Trên syslog-ng server, file /etc/syslog-ng.conf ta cấu sau ……… source s_sys { file ("/proc/kmsg" log_prefix("kernel: ")); unix-stream ("/dev/log"); internal(); # udp(ip(0.0.0.0) port(514)); # tcp(ip(0.0.0.0) port(514)); }; source s_remote { tcp(); udp(); }; destination d_clients { file ("/var/log/syslog-ng/$DAY.$MONTH.$YEAR/$HOST/ $FACILITY.log"); }; log { source(s_remote); destination(d_clients); }; … …  ... /usr/local/sbin /syslog- ng # vi /etc/init.d /syslog- ng #exec="/sbin /syslog- ng" exec="/usr/local/sbin /syslog- ng" Bước Dừng syslog khởi tạo syslog- ng # service syslog stop # service syslog- ng start... hình để syslog- ng khởi động lần reboot # chkconfig syslog off # chkconfig syslog- ng on CẤU HÌNH SYSLOG- NG Cấu hình syslog- ng Những hành vi vủa syslog- ng kiếm sốt file cấu hình /etc/syslogng /syslog- ng.conf... dụng giao thức UDP tới server + Cài đặt cấu hình Datagram SyslogAgent + Cài đặt cấu hình SNARE for Windows: Cấu hình syslog- ng server Trên syslog- ng server, file /etc /syslog- ng.conf ta cấu sau ………