configuracion de syslog.pdf
-
Upload
daniela-leon -
Category
Documents
-
view
100 -
download
6
Transcript of configuracion de syslog.pdf
# rm-rf.es | Administración de sistemas
Bitácora personal de un SysAdmin Gnu/Linux, Windows, BSD...
INICIOSuscríbetepor emailContacto
Introduce tu búsqueda...
ago 12, 2011
Configurar un syslog remoto paracentralizar logs
Syslogd permite ser configurado para escuchar y aceptar conexiones remotas, lo queimplica poder recibir datos y almacenarlos de clientes externos (syslog de otrosservidores). Esto es perfecto para crear un servidor syslog central y enviarle todos loslogs de otros servidores, con la finalidad de tenerlos y gestionarlos todos en el mismositio.
La configuración es bastante sencilla. Vamos a ver los pasos a realizar en el servidorcentral syslogd y en los clientes.
Syslogd central
En el servidor syslogd que va a recibir todos los logs hay que revisar dos cosas. Laprimera que esté configurado para aceptar conexiones remotas. Para ello hay que añadirel parámetro “-r” a la línea de arranque. Ya sea en el script de /etc/init.d/syslog o si loarrancamos a mano. En el script de init.d suele ser en la variable donde se especificanlos parámetros:
SYSLOGD_OPTIONS="-r -m 0"
Y si lo arrancaramos a mano:
# syslogd -r -m 0
Una vez arrancado, debería estar escuchando en el puerto UDP 514. Aseguraos que estáabierto en el firewall:
syslogd 13819 root 7u IPv4 660344590 UDP *:syslog
Clientes syslogd
A la hora de configurar los clientes que van a enviar los logs al servidor central,únicamente tenemos que especificar qué logs van a ir al servidor central, lo haremos en
Configurar un syslog remoto para centralizar logs | rm-rf.es http://rm-rf.es/configurar-un-syslog-remoto-para-centrali...
1 de 6 09/08/13 13:51
TwittearTwittear
4
0
el fichero de configuración /etc/syslog.conf.
Una línea estandar es esta por ejemplo, en la que mandamos a /var/log/messages los logsde cron, info, mail, etc:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
Para que estos logs se dejen de almacenar en el log local y pasen al remoto, únicamenteindicamos con @servidor_syslogd el hostname/ip del servidor syslogd. Si por ejemplo elservidor syslogd tiene el hostname syslogd01:
*.info;mail.none;authpriv.none;cron.none @syslogd01
Reiniciamos syslogd y comenzaríamos a enviar los logs al servidor central:
# /etc/init.d/syslogd restart
Un ejemplo de como veríamos el log central con varias entradas de distintos servidores(servidor01, servidor02,…):
Aug 12 18:15:58 servidor01 snmpd[27557]: Connection from UDP: [xx.xx.xx.xx]:39892 Aug 12 18:15:58 servidor01 snmpd[27557]: Received SNMP packet(s) from UDP: [xx.xx.xx.xx]:39892 Aug 12 18:15:58 servidor02 snmpd[27557]: Connection from UDP: [xx.xx.xx.xx]:56751 Aug 12 18:15:58 servidor02 snmpd[27557]: Received SNMP packet(s) from UDP: [xx.xx.xx.xx]:56751 ......
También te puede interesar:
Cómo enviar alertas AVC de SELinux por email (setroubleshoot-server)Nadie nos impide hacer troubleshooting/debug de SELinux a través del log de audit (/var/log/audit/audit.log), el problema
es que en dicho log la información se vuelca en bruto y puede ser complejo ...
Activar Access Log en GlassFishPor defecto GlassFish (la versión 3.X en este caso) no activa los logs de acceso. Si queremos activarlos podemos hacerlo tanto desde la interfaz web
de administración como desde línea de comandos (...
Ver el contenido de btmp y wtmp con utmpdumpEl comando utmpdump permite visualizar el contenido de los ficheros btmp y wtmp. Ambos ficheros tienen formato binario y almacenan logs de:
btmp: log que almacena un registro de los accesos fal...
Categoría: Linux, Monitorización | Etiquetas: logs, syslog
8 Comentarios
inedit00 dice:agosto 13, 2011 a las 11:52 am
Una entrada genial, Alex. Hace tiempo que quería echarle un vistazo a esto de loslogs remotos, pero nunca encontraba tiempo para ello. Aquí está muy bien explicadoy parece realmente simple.
Pero estoy pensando que este sistema es algo inseguro: abrir el puerto der firewallexponiendo una máquina que permite logear cosas en el disco duro a mi me huele aun ataque DoS llenando el disco duro del servidor de rsyslog. Sabes si el sistematambién permita autenticación de algún modo. Ya sea por IP de origen, por sesión,etc… ?
1.
Configurar un syslog remoto para centralizar logs | rm-rf.es http://rm-rf.es/configurar-un-syslog-remoto-para-centrali...
2 de 6 09/08/13 13:51
Un saludo y a seguir así, Jan.
Nota: Sigo a bastantes blogs. El tuyo es el que tiene la tasa mas alta de posts útilespor número de posts publicados ;) Ánimos!
Responder
Alex dice:agosto 13, 2011 a las 12:54 pm
Me alegro de que te sirvan los posts!
Igual lo mas sencillo es, a nivel de firewall restringir el puerto UDP unicamente adeterminadas IPs o a los rangos privados que vayan a usar el servicio de syslog yapañado.
De todas formas lo de la autenticacion parece interesante. Lo revisare a ver.
Saludo
Responder
2.
Raul Diaz dice:septiembre 20, 2011 a las 9:24 pm
Esto que ustedes desean hacer se puede realizar con syslog-ng echenle un vistazoen: http://www.balabit.com/network-security/syslog-ng/opensource-logging-system
Responder
3.
Yamilet Sanchez dice:agosto 7, 2012 a las 12:00 am
Hola, muchas gracias por la informacion esta buena, me funciona, yo tengo 6servidores linux, y quisiera que los de casa uno se guardaran por separado, en otroarchivo para poder distinguirlo de cada servidor como puedo hacer??Gracias.
Responder
Alfonso De Caro dice:septiembre 25, 2012 a las 8:44 pm
no seas brutaa! Yamilet!! RTFM
Ignorante.
Responder
4.
Alfonso De Caro dice:septiembre 25, 2012 a las 8:42 pm
no seas brutaa! Yamilet!! RTFM
Ignorante.
5.
Configurar un syslog remoto para centralizar logs | rm-rf.es http://rm-rf.es/configurar-un-syslog-remoto-para-centrali...
3 de 6 09/08/13 13:51
Responder
Ivan Candamo dice:julio 18, 2013 a las 10:02 pm
Saludos…
Muy valioso tu post, pero, en este caso queria preguntarte si existe la posibilidad deque un servidor replique sus logs hacia varios servidores remotos
ejemplo de lo que busco hacer: (en el /etc/syslog.conf)
*.info;mail.none;authpriv.none;cron.none @servidor_remoto_1*.err;*.crit;*.alert;*.emerg @servidor_remoto_2
Responder
Ivan Candamo dice:julio 18, 2013 a las 10:04 pm
lamentablemente se me hace imposible probarlo en la plataforma donde quieroaplicarlo debido a que es 24/7 y no puedo reiniciar el demonio syslogd.Agradeceria lo que esté a tu alcance para disipar la duda.Gracias de antemano.
Responder
6.
Deja una respuesta
Nombre (obligatorio)
Mail (obligatorio)
Website
Enviar comentario
Seguir a Seguir a @rm_rf_es@rm_rf_es 600 seguidores
Configurar un syslog remoto para centralizar logs | rm-rf.es http://rm-rf.es/configurar-un-syslog-remoto-para-centrali...
4 de 6 09/08/13 13:51
Entradas recientes
Transaction Check Error al instalar Percona XtraDB ClusterPerl: ocultar texto si se solicita el password por STDINTruco sed: mostrar líneas desde coincidencia hasta final o comienzo del ficheroLdapsearch y Perl para evitar saltos de línea en atributos largosCommuniGate Pro: activar debug completo para todo el servicio
Comentarios recientes
Ivan Candamo en Configurar un syslog remoto para centralizar logsIvan Candamo en Configurar un syslog remoto para centralizar logsCamilo en Automatizar instalaciones de CentOS con KickstartTronPu2 en Host ‘host_name’ is blocked because of many connection errors.Unblock with ‘mysqladmin flush-hostskenny en Añadir hosts virtuales a topologías de red de GNS3
Etiquetas
Apache backup bash CentOS Cisco comando Comandos comandos linux comunicaciones correo
cPanel data ontap Debian Dns error Fedora IIS instalación IOS ip kernel Linux Monitorización
MySQL NetApp optimizacion Oracle password Perl PHP Red Hat RHEL Seguridad SELinux
sistema ficheros Solaris ssh Ubuntu Unix vim Virtualización virtuozzo vps Windowsyum
Categorías
ApacheBSDComandoscPanelCuriosidadesDnsDominios y HostingHumor GeekIISLinuxManualesMonitorizaciónMySQLNetAppPHPPostgreSQLPython y PerlRedesScriptsSeguridadServidores de aplicacionesServidores de correo
Configurar un syslog remoto para centralizar logs | rm-rf.es http://rm-rf.es/configurar-un-syslog-remoto-para-centrali...
5 de 6 09/08/13 13:51
StorageUbuntuUnixUtilidadesVídeosVirtualizaciónWindows
Política de privacidad | Tema Grid Focus | Licencia Creative Commons | Guitarra |Enmarcación de cuadros
Configurar un syslog remoto para centralizar logs | rm-rf.es http://rm-rf.es/configurar-un-syslog-remoto-para-centrali...
6 de 6 09/08/13 13:51