Jak mogę otrzymywać logi syslog z systemu sieciowego?

Chciałbym skonfigurować Ubuntu do odbierania logów z routera DD-WRT. Ekran konfiguracji routera zawiera następującą sekcję:

a jego dokumentacja rejestracyjna brzmi:

Jeśli chcesz wysłać dzienniki do systemu zdalnego, wprowadź adres IP tego komputera, na którym działa także narzędzie syslog (potrzebuje otwartego gniazda sieciowego, aby zaakceptować dzienniki wysyłane przez router).

Nigdy wcześniej (świadomie) nie korzystałem z syslog. Co muszę zrobić w Ubuntu, aby móc otrzymywać te dzienniki?

Host odbierający dzienniki będzie musiał uruchomić demona syslog skonfigurowanego do nasłuchiwania dzienników zdalnych. W Ubuntu istnieje wiele implementacji syslog, ale rsyslogzazwyczaj jest to zalecane i powinno być instalowane domyślnie. Nie mogę stwierdzić z dokumentacji zamieszczonego linku, czy DD-WRT wysyła logi za pośrednictwem TCP lub UDP, więc może być konieczne trochę eksperymentów, aby znaleźć dokładne ustawienia, jeśli obawiasz się o zmniejszenie liczby dostępnych w sieci porty na twoim hoście.

Istnieją dwa sposoby, aby to włączyć: pierwszy jest prostszy, ale może wymagać ponownej integracji podczas aktualizacji systemu. Drugi jest nieco bardziej skomplikowany i może powodować mylące wyniki, jeśli nastąpią znaczące zmiany w konfiguracji syslog w ramach aktualizacji. Wybrałbym drugi, ale twoje preferencje mogą się różnić.

Pierwszym jest edycja /etc/rsyslogd.confi usunięcie inicjału #z następujących wierszy:

# $ ModLoad imudp
# $ UDPServerRun 514

lub

# $ ModLoad imtcp
# $ InputTCPServerRun 514

Po drugie, aby utworzyć nowy plik o nazwie, może local-enable-tcp.confw /etc/rsyslog.d/, o następującej treści:

# włącz odbiór syslog TCP
$ ModLoad imtcp
$ InputTCPServerRun 514

Jeśli chcesz użyć oddzielnego pliku i potrzebujesz UDP, zmień zawartość, aby pasowała do powyższej sekcji UDP. Określona nazwa pliku nie jest ważna, ale zaleca się rozpoczęcie jej od „local-”, ponieważ ta przestrzeń nazw jest zarezerwowana dla konfiguracji lokalnego administratora i musi kończyć się na „.conf”, ponieważ tylko pliki o takim zakończeniu są automatycznie dołączane do pliku Konfiguracja rsyslog.

Jeśli wolisz użyć innej implementacji syslog, sprawdź konfigurację i dokumentację dla tej implementacji: jest prawdopodobne, że demon syslog jest skonfigurowany tak, aby domyślnie nie nasłuchiwał w sieci, ale przykładowa konfiguracja umożliwiająca włączenie tego wspólnego przypadku powinna być wyraźnie udokumentowana.

Inną opcją jest użycie syslog-ng, łatwy w użyciu i do tej pory gotowy!

sudo apt-get install syslog-ng

Po instalacji mamy plik conf w /etc/syslog-ng/syslog-ng.conf Więc po prostu edytuj ten .conf z naszymi parametrami, ale wcześniej wykonaj kopię zapasową domyślnego pliku konfiguracyjnego, może być przydatny później, jeśli chcesz dostroić niektóre parametry

sudo mv /etc/syslog-ng/syslog-ng.conf /etc/syslog-ng/syslog-ng.conf.bak

Teraz utwórz nowy plik konfiguracyjny i edytuj go!

sudo touch /etc/syslog-ng/syslog-ng.conf
sudo nano /etc/syslog-ng/syslog-ng.conf

Więc wklej tę podstawową konfigurację, aby również działała:

# Listening to incoming UDP Syslog connections
source mysource { udp(); };

#Add the syslog targets:

destination dest { file("/var/log/Cisco$YEAR$MONTH$R_DAY.log"); };
#destination dest_other_server { udp("1.2.3.4" port(514)); };
#Create the filters that will be used to determine what to do with the received syslog message

#filter filter { ( host("2.3.4.5") and level(notice) and match("username=.*@domain\.local" value("MESSAGE") flags("utf8" "ignore-case")) ); };
filter myfilter { ( level(notice) ); };
#And putting it all together:

log { source(mysource); filter(myfilter); destination(dest);  };

Łatwe, jak widać. Dbać!

Zasadniczo uruchamiasz demona (zwanego syslogd) na swoim serwerze, aby router dd-wrt wysyłał dzienniki do.

Tutorial- http://www.techiecorner.com/1479/how-to-setup-syslog-server-in-ubuntu/