Zbieranie logów w sieci wewnętrznej

Dyskusja w 'Inne' rozpoczęta przez użytkownika jaroslawk, 21 Październik 2009.

Ładowanie...
  1. jaroslawk
    Offline

    jaroslawk Staff Contributor

    Dołączył:
    1 Październik 2008
    Wiadomości:
    275
    Miejscowość:
    Konin
    Local Time:
    06:52
    Oceny:
    +25 / 0 / -0
    Followers:
    0
    QNAP:
    TS-509 Pro
    Ethernet:
    1 GbE
    TS-509 Pro 1 GbE
    Witam,
    Potrzebuję zbierać z urządzeń w sieci wewnętrznej logi i archiwizować je w jednym miejscu. Czy zna może ktoś taki system oraz jakąś nakładkę do analizy w/w logów.
    Myślałem nad Linusem i syslog-ng. Wiem że za pomocą filtrów w syslogu można zrealizować mechanizm w którym każde urządzenie ma swój plik z logami.
    Pozdrawiam
    Jarek
     
  2. jarlath
    Offline

    jarlath Moderator Contributor

    Dołączył:
    12 Grudzień 2008
    Wiadomości:
    246
    Miejscowość:
    Poland, Gliwice
    Local Time:
    06:52
    Oceny:
    +14 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    Bez problemów syslog-ng zbiera zdalnie logi. Sam mam tak zrobione i działa jak trzeba. Do analizy coś w stylu PHP-log analyzer o ile dobrze pamiętam.
     
  3. jaroslawk
    Offline

    jaroslawk Staff Contributor

    Dołączył:
    1 Październik 2008
    Wiadomości:
    275
    Miejscowość:
    Konin
    Local Time:
    06:52
    Oceny:
    +25 / 0 / -0
    Followers:
    0
    QNAP:
    TS-509 Pro
    Ethernet:
    1 GbE
    TS-509 Pro 1 GbE
    Masz podzielone, że konkretne urządzenie ma swój plik czy wszystko jest zbierane do jednego pliku?.
     
  4. jarlath
    Offline

    jarlath Moderator Contributor

    Dołączył:
    12 Grudzień 2008
    Wiadomości:
    246
    Miejscowość:
    Poland, Gliwice
    Local Time:
    06:52
    Oceny:
    +14 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    W domu mam osobne pliki dla Linksys'a, i QNAP'a
     
  5. jaroslawk
    Offline

    jaroslawk Staff Contributor

    Dołączył:
    1 Październik 2008
    Wiadomości:
    275
    Miejscowość:
    Konin
    Local Time:
    06:52
    Oceny:
    +25 / 0 / -0
    Followers:
    0
    QNAP:
    TS-509 Pro
    Ethernet:
    1 GbE
    TS-509 Pro 1 GbE
    Czy logujesz wszystkie informacje czy tylko wybrane ?
    Czy mogę liczyć na podesłanie pliku konfiguracyjnego.
     
  6. jarlath
    Offline

    jarlath Moderator Contributor

    Dołączył:
    12 Grudzień 2008
    Wiadomości:
    246
    Miejscowość:
    Poland, Gliwice
    Local Time:
    06:52
    Oceny:
    +14 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    Przechowyje to co daje urządzenie przy logowaniu na zdalny serwer. Po stronie Syslog-NG możesz już sortować i logować co i jak chcesz
    A oto mój konfig z syslog-ng:
    Kod (Text):
    1.  
    2. options {
    3.         chain_hostnames(off);
    4.         sync(0);            
    5.         stats(43200);        
    6. };                          
    7.  
    8. #options {
    9. #       chain_hostnames(off);
    10. #       sync(0);            
    11. #       stats(43200);        
    12. #       long_hostnames(off);        
    13. #       use_dns(no);                
    14. #       create_dirs(yes);          
    15. #};                                
    16.  
    17. source src {    unix-stream("/dev/log");
    18.                 internal();            
    19.                 udp();                  
    20.             };                          
    21. source kernsrc { file("/proc/kmsg"); };
    22.  
    23. #source net { udp(); };
    24. #log { source(net); destination(net_logs); };
    25. #destination net_logs { file("/var/log/HOSTS/$HOST/$YEAR$MONTH$DAY.log"); };
    26.  
    27. destination authlog { file("/var/log/syslog-ng/auth.log"); };
    28. destination syslog { file("/var/log/syslog-ng/syslog"); };  
    29. destination cron { file("/var/log/syslog-ng/cron.log"); };  
    30. destination daemon { file("/var/log/syslog-ng/daemon.log"); };
    31. destination kern { file("/var/log/syslog-ng/kern.log"); file("/dev/tty12"); };
    32. destination lpr { file("/var/log/syslog-ng/lpr.log"); };
    33. destination user { file("/var/log/syslog-ng/user.log"); };
    34. destination uucp { file("/var/log/syslog-ng/uucp.log"); };
    35. #destination ppp { file("/var/log/syslog-ng/ppp.log"); };
    36. destination mail { file("/var/log/syslog-ng/mail.log"); };
    37.  
    38. #TS509 and WRVS4400n
    39. destination d_qnap { file("/var/log/syslog-ng/qnap.log"); };  
    40. destination d_linksys { file("/var/log/syslog-ng/linksys.log");};
    41.  
    42. destination avc { file("/var/log/syslog-ng/avc.log"); };
    43. destination audit { file("/var/log/syslog-ng/audit.log"); };
    44. destination pax { file("/var/log/syslog-ng/pax.log"); };  
    45. destination grsec { file("/var/log/syslog-ng/grsec.log"); };
    46.  
    47. destination mailinfo { file("/var/log/syslog-ng/mail.info"); };
    48. destination mailwarn { file("/var/log/syslog-ng/mail.warn"); };
    49. destination mailerr { file("/var/log/syslog-ng/mail.err"); };
    50.  
    51. destination newscrit { file("/var/log/news/news.crit"); };
    52. destination newserr { file("/var/log/news/news.err"); };
    53. destination newsnotice { file("/var/log/news/news.notice"); };
    54.  
    55. destination debug { file("/var/log/syslog-ng/debug"); };
    56. destination messages { file("/var/log/syslog-ng/messages"); };
    57. destination console { usertty("root"); };
    58. destination console_all { file("/dev/tty12"); };
    59. #destination loghost { udp("loghost" port(999)); };
    60.  
    61. destination xconsole { pipe("/dev/xconsole"); };
    62.  
    63. filter f_auth { facility(auth); };
    64. filter f_authpriv { facility(auth, authpriv); };
    65. filter f_syslog { not facility(authpriv, cron, mail); };
    66. filter f_cron { facility(cron); };
    67. filter f_daemon { facility(daemon); };
    68. filter f_kern { facility(kern); };
    69. filter f_lpr { facility(lpr); };
    70. filter f_mail { facility(mail); };
    71. filter f_user { facility(user); };
    72. filter f_uucp { facility(uucp); };
    73. #filter f_ppp { facility(ppp); };
    74. filter f_news { facility(news); };
    75. filter f_debug { not facility(auth, authpriv, news, mail); };
    76. filter f_messages { level(info..warn)
    77.         and not facility(cron,auth, authpriv, mail, news); };
    78. filter f_emergency { level(emerg); };
    79.  
    80. filter f_info { level(info); };
    81.  
    82. filter f_notice { level(notice); };
    83. filter f_warn { level(warn); };
    84. filter f_crit { level(crit); };
    85. filter f_err { level(err); };
    86.  
    87. filter f_avc { match(".*avc: .*"); };
    88. filter f_audit { match("^audit.*") and not match(".*avc: .*"); };
    89. filter f_pax { match("^PAX:.*"); };
    90. filter f_grsec { match("^grsec:.*"); };
    91.  
    92. #TS509 and WRVS4400n
    93. filter f_qnap { facility(qlogd); };
    94. filter f_linksys { match("xxx.xxx.xxx.xxx"); };
    95.  
    96. log { source(src); filter(f_authpriv); destination(authlog); };
    97. log { source(src); filter(f_syslog); destination(syslog); };
    98. log { source(src); filter(f_cron); destination(cron); };
    99. log { source(src); filter(f_daemon); destination(daemon); };
    100. log { source(kernsrc); filter(f_kern); destination(kern); };
    101. log { source(src); filter(f_lpr); destination(lpr); };
    102. log { source(src); filter(f_mail); destination(mail); };
    103. log { source(src); filter(f_user); destination(user); };
    104. log { source(src); filter(f_uucp); destination(uucp); };
    105. log { source(kernsrc); filter(f_pax); destination(pax); };
    106. log { source(kernsrc); filter(f_grsec); destination(grsec); };
    107. log { source(kernsrc); filter(f_audit); destination(audit); };
    108. log { source(kernsrc); filter(f_avc); destination(avc); };
    109. log { source(src); filter(f_mail); filter(f_info); destination(mailinfo); };
    110. log { source(src); filter(f_mail); filter(f_warn); destination(mailwarn); };
    111. log { source(src); filter(f_mail); filter(f_err); destination(mailerr); };
    112. log { source(src); filter(f_news); filter(f_crit); destination(newscrit); };
    113. log { source(src); filter(f_news); filter(f_err); destination(newserr); };
    114. log { source(src); filter(f_news); filter(f_notice); destination(newsnotice); };
    115. log { source(src); filter(f_debug); destination(debug); };
    116. log { source(src); filter(f_messages); destination(messages); };
    117. log { source(src); filter(f_emergency); destination(console); };
    118. #log { source(src); filter(f_ppp); destination(ppp); };
    119. log { source(src); destination(console_all); };
    120.  
    121. #TS509 and WRVS4400n
    122. log { source(src); filter(f_qnap); destination(d_qnap); };
    123. log { source(src); filter(f_linksys); destination(d_linksys); };
    124.  
    Jeszcze mała uwaga, ponieważ urządzenia logowane są rozmieszczone wyłącznie w obszarze mieszkania i wiszą na osobnym vlanie - loguje przez UDP. Istnieje możliwośc logowania przez TCP ale nie każde urządzenia potrafi tak gadać.
     
  7. jaroslawk
    Offline

    jaroslawk Staff Contributor

    Dołączył:
    1 Październik 2008
    Wiadomości:
    275
    Miejscowość:
    Konin
    Local Time:
    06:52
    Oceny:
    +25 / 0 / -0
    Followers:
    0
    QNAP:
    TS-509 Pro
    Ethernet:
    1 GbE
    TS-509 Pro 1 GbE
    No nieźle w sieci domowej vlan.
    Zbliża się weekend, więc pora zabrać się za pracę.
    Jak bym miał jakieś problem to dam znać.
    Pozdrawiam
    Jarek
     
  8. jarlath
    Offline

    jarlath Moderator Contributor

    Dołączył:
    12 Grudzień 2008
    Wiadomości:
    246
    Miejscowość:
    Poland, Gliwice
    Local Time:
    06:52
    Oceny:
    +14 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    Nie ma problemu. Jeśli będę mógł pomóc. Vlan'y mam zrobiony ze względu na organizację i bezpieczeństwo. W sumie mam ich 3. Głównie dlatego, że w mojej sieci pracują także urządzenia mojej konstrukcji i chciałem na wszelki wypadek wydzielić sieć tych urządzeń. A potem powstała kolejna i kolejna...
     
Ładowanie...