configuracion de syslog.pdf

# rm-rf.es | Administración de sistemas

Bitácora personal de un SysAdmin Gnu/Linux, Windows, BSD...

INICIOSuscríbetepor emailContacto

Introduce tu búsqueda...

ago 12, 2011

Configurar un syslog remoto paracentralizar logs

Syslogd permite ser configurado para escuchar y aceptar conexiones remotas, lo queimplica poder recibir datos y almacenarlos de clientes externos (syslog de otrosservidores). Esto es perfecto para crear un servidor syslog central y enviarle todos loslogs de otros servidores, con la finalidad de tenerlos y gestionarlos todos en el mismositio.

La configuración es bastante sencilla. Vamos a ver los pasos a realizar en el servidorcentral syslogd y en los clientes.

Syslogd central

En el servidor syslogd que va a recibir todos los logs hay que revisar dos cosas. Laprimera que esté configurado para aceptar conexiones remotas. Para ello hay que añadirel parámetro “-r” a la línea de arranque. Ya sea en el script de /etc/init.d/syslog o si loarrancamos a mano. En el script de init.d suele ser en la variable donde se especificanlos parámetros:

SYSLOGD_OPTIONS="-r -m 0"

Y si lo arrancaramos a mano:

# syslogd -r -m 0

Una vez arrancado, debería estar escuchando en el puerto UDP 514. Aseguraos que estáabierto en el firewall:

syslogd 13819 root 7u IPv4 660344590 UDP *:syslog

Clientes syslogd

A la hora de configurar los clientes que van a enviar los logs al servidor central,únicamente tenemos que especificar qué logs van a ir al servidor central, lo haremos en

Configurar un syslog remoto para centralizar logs | rm-rf.es http://rm-rf.es/configurar-un-syslog-remoto-para-centrali...

1 de 6 09/08/13 13:51

TwittearTwittear

4

0

el fichero de configuración /etc/syslog.conf.

Una línea estandar es esta por ejemplo, en la que mandamos a /var/log/messages los logsde cron, info, mail, etc:

*.info;mail.none;authpriv.none;cron.none /var/log/messages

Para que estos logs se dejen de almacenar en el log local y pasen al remoto, únicamenteindicamos con @servidor_syslogd el hostname/ip del servidor syslogd. Si por ejemplo elservidor syslogd tiene el hostname syslogd01:

*.info;mail.none;authpriv.none;cron.none @syslogd01

Reiniciamos syslogd y comenzaríamos a enviar los logs al servidor central:

# /etc/init.d/syslogd restart

Un ejemplo de como veríamos el log central con varias entradas de distintos servidores(servidor01, servidor02,…):

Aug 12 18:15:58 servidor01 snmpd[27557]: Connection from UDP: [xx.xx.xx.xx]:39892 Aug 12 18:15:58 servidor01 snmpd[27557]: Received SNMP packet(s) from UDP: [xx.xx.xx.xx]:39892 Aug 12 18:15:58 servidor02 snmpd[27557]: Connection from UDP: [xx.xx.xx.xx]:56751 Aug 12 18:15:58 servidor02 snmpd[27557]: Received SNMP packet(s) from UDP: [xx.xx.xx.xx]:56751 ......

También te puede interesar:

Cómo enviar alertas AVC de SELinux por email (setroubleshoot-server)Nadie nos impide hacer troubleshooting/debug de SELinux a través del log de audit (/var/log/audit/audit.log), el problema

es que en dicho log la información se vuelca en bruto y puede ser complejo ...

Activar Access Log en GlassFishPor defecto GlassFish (la versión 3.X en este caso) no activa los logs de acceso. Si queremos activarlos podemos hacerlo tanto desde la interfaz web

de administración como desde línea de comandos (...

Ver el contenido de btmp y wtmp con utmpdumpEl comando utmpdump permite visualizar el contenido de los ficheros btmp y wtmp. Ambos ficheros tienen formato binario y almacenan logs de:

btmp: log que almacena un registro de los accesos fal...

Categoría: Linux, Monitorización | Etiquetas: logs, syslog

8 Comentarios

inedit00 dice:agosto 13, 2011 a las 11:52 am

Una entrada genial, Alex. Hace tiempo que quería echarle un vistazo a esto de loslogs remotos, pero nunca encontraba tiempo para ello. Aquí está muy bien explicadoy parece realmente simple.

Pero estoy pensando que este sistema es algo inseguro: abrir el puerto der firewallexponiendo una máquina que permite logear cosas en el disco duro a mi me huele aun ataque DoS llenando el disco duro del servidor de rsyslog. Sabes si el sistematambién permita autenticación de algún modo. Ya sea por IP de origen, por sesión,etc… ?

1.


2 de 6 09/08/13 13:51

Un saludo y a seguir así, Jan.

Nota: Sigo a bastantes blogs. El tuyo es el que tiene la tasa mas alta de posts útilespor número de posts publicados ;) Ánimos!

Responder

Alex dice:agosto 13, 2011 a las 12:54 pm

Me alegro de que te sirvan los posts!

Igual lo mas sencillo es, a nivel de firewall restringir el puerto UDP unicamente adeterminadas IPs o a los rangos privados que vayan a usar el servicio de syslog yapañado.

De todas formas lo de la autenticacion parece interesante. Lo revisare a ver.

Saludo

Responder

2.

Raul Diaz dice:septiembre 20, 2011 a las 9:24 pm

Esto que ustedes desean hacer se puede realizar con syslog-ng echenle un vistazoen: http://www.balabit.com/network-security/syslog-ng/opensource-logging-system

Responder

3.

Yamilet Sanchez dice:agosto 7, 2012 a las 12:00 am

Hola, muchas gracias por la informacion esta buena, me funciona, yo tengo 6servidores linux, y quisiera que los de casa uno se guardaran por separado, en otroarchivo para poder distinguirlo de cada servidor como puedo hacer??Gracias.

Responder

Alfonso De Caro dice:septiembre 25, 2012 a las 8:44 pm

no seas brutaa! Yamilet!! RTFM

Ignorante.

Responder

4.

Alfonso De Caro dice:septiembre 25, 2012 a las 8:42 pm

no seas brutaa! Yamilet!! RTFM

Ignorante.

5.


3 de 6 09/08/13 13:51

Responder

Ivan Candamo dice:julio 18, 2013 a las 10:02 pm

Saludos…

Muy valioso tu post, pero, en este caso queria preguntarte si existe la posibilidad deque un servidor replique sus logs hacia varios servidores remotos

ejemplo de lo que busco hacer: (en el /etc/syslog.conf)

*.info;mail.none;authpriv.none;cron.none @servidor_remoto_1*.err;*.crit;*.alert;*.emerg @servidor_remoto_2

Responder

Ivan Candamo dice:julio 18, 2013 a las 10:04 pm

lamentablemente se me hace imposible probarlo en la plataforma donde quieroaplicarlo debido a que es 24/7 y no puedo reiniciar el demonio syslogd.Agradeceria lo que esté a tu alcance para disipar la duda.Gracias de antemano.

Responder

6.

Deja una respuesta

Nombre (obligatorio)

Mail (obligatorio)

Website

Enviar comentario

Seguir a Seguir a @rm_rf_es@rm_rf_es 600 seguidores


4 de 6 09/08/13 13:51

Entradas recientes

Transaction Check Error al instalar Percona XtraDB ClusterPerl: ocultar texto si se solicita el password por STDINTruco sed: mostrar líneas desde coincidencia hasta final o comienzo del ficheroLdapsearch y Perl para evitar saltos de línea en atributos largosCommuniGate Pro: activar debug completo para todo el servicio

Comentarios recientes

Ivan Candamo en Configurar un syslog remoto para centralizar logsIvan Candamo en Configurar un syslog remoto para centralizar logsCamilo en Automatizar instalaciones de CentOS con KickstartTronPu2 en Host ‘host_name’ is blocked because of many connection errors.Unblock with ‘mysqladmin flush-hostskenny en Añadir hosts virtuales a topologías de red de GNS3

Etiquetas

Apache backup bash CentOS Cisco comando Comandos comandos linux comunicaciones correo

cPanel data ontap Debian Dns error Fedora IIS instalación IOS ip kernel Linux Monitorización

MySQL NetApp optimizacion Oracle password Perl PHP Red Hat RHEL Seguridad SELinux

sistema ficheros Solaris ssh Ubuntu Unix vim Virtualización virtuozzo vps Windowsyum

Categorías

ApacheBSDComandoscPanelCuriosidadesDnsDominios y HostingHumor GeekIISLinuxManualesMonitorizaciónMySQLNetAppPHPPostgreSQLPython y PerlRedesScriptsSeguridadServidores de aplicacionesServidores de correo


5 de 6 09/08/13 13:51

StorageUbuntuUnixUtilidadesVídeosVirtualizaciónWindows

Política de privacidad | Tema Grid Focus | Licencia Creative Commons | Guitarra |Enmarcación de cuadros


6 de 6 09/08/13 13:51

configuracion de syslog.pdf

Documents

Transcript of configuracion de syslog.pdf