Zbieranie logów w sieci wewnętrznej

jaroslawk · 21 Październik 2009

Witam,
Potrzebuję zbierać z urządzeń w sieci wewnętrznej logi i archiwizować je w jednym miejscu. Czy zna może ktoś taki system oraz jakąś nakładkę do analizy w/w logów.
Myślałem nad Linusem i syslog-ng. Wiem że za pomocą filtrów w syslogu można zrealizować mechanizm w którym każde urządzenie ma swój plik z logami.
Pozdrawiam
Jarek

Deleted member jarlath · 21 Październik 2009

Bez problemów syslog-ng zbiera zdalnie logi. Sam mam tak zrobione i działa jak trzeba. Do analizy coś w stylu PHP-log analyzer o ile dobrze pamiętam.

jaroslawk · 21 Październik 2009

Masz podzielone, że konkretne urządzenie ma swój plik czy wszystko jest zbierane do jednego pliku?.

Deleted member jarlath · 22 Październik 2009

W domu mam osobne pliki dla Linksys'a, i QNAP'a

jaroslawk · 22 Październik 2009

Czy logujesz wszystkie informacje czy tylko wybrane ?
Czy mogę liczyć na podesłanie pliku konfiguracyjnego.

Deleted member jarlath · 22 Październik 2009

Przechowyje to co daje urządzenie przy logowaniu na zdalny serwer. Po stronie Syslog-NG możesz już sortować i logować co i jak chcesz
A oto mój konfig z syslog-ng:

Kod:

options {
        chain_hostnames(off);
        sync(0);             
        stats(43200);        
};                           

#options {
#       chain_hostnames(off);
#       sync(0);             
#       stats(43200);        
#       long_hostnames(off);        
#       use_dns(no);                
#       create_dirs(yes);           
#};                                 

source src {    unix-stream("/dev/log");
                internal();             
                udp();                  
            };                          
source kernsrc { file("/proc/kmsg"); }; 

#source net { udp(); };
#log { source(net); destination(net_logs); };
#destination net_logs { file("/var/log/HOSTS/$HOST/$YEAR$MONTH$DAY.log"); };

destination authlog { file("/var/log/syslog-ng/auth.log"); };
destination syslog { file("/var/log/syslog-ng/syslog"); };   
destination cron { file("/var/log/syslog-ng/cron.log"); };   
destination daemon { file("/var/log/syslog-ng/daemon.log"); };
destination kern { file("/var/log/syslog-ng/kern.log"); file("/dev/tty12"); };
destination lpr { file("/var/log/syslog-ng/lpr.log"); };
destination user { file("/var/log/syslog-ng/user.log"); };
destination uucp { file("/var/log/syslog-ng/uucp.log"); };
#destination ppp { file("/var/log/syslog-ng/ppp.log"); };
destination mail { file("/var/log/syslog-ng/mail.log"); };

#TS509 and WRVS4400n
destination d_qnap { file("/var/log/syslog-ng/qnap.log"); };  
destination d_linksys { file("/var/log/syslog-ng/linksys.log");};

destination avc { file("/var/log/syslog-ng/avc.log"); };
destination audit { file("/var/log/syslog-ng/audit.log"); };
destination pax { file("/var/log/syslog-ng/pax.log"); };   
destination grsec { file("/var/log/syslog-ng/grsec.log"); };

destination mailinfo { file("/var/log/syslog-ng/mail.info"); };
destination mailwarn { file("/var/log/syslog-ng/mail.warn"); };
destination mailerr { file("/var/log/syslog-ng/mail.err"); };

destination newscrit { file("/var/log/news/news.crit"); };
destination newserr { file("/var/log/news/news.err"); };
destination newsnotice { file("/var/log/news/news.notice"); };

destination debug { file("/var/log/syslog-ng/debug"); };
destination messages { file("/var/log/syslog-ng/messages"); };
destination console { usertty("root"); };
destination console_all { file("/dev/tty12"); };
#destination loghost { udp("loghost" port(999)); };

destination xconsole { pipe("/dev/xconsole"); };

filter f_auth { facility(auth); };
filter f_authpriv { facility(auth, authpriv); };
filter f_syslog { not facility(authpriv, cron, mail); };
filter f_cron { facility(cron); };
filter f_daemon { facility(daemon); };
filter f_kern { facility(kern); };
filter f_lpr { facility(lpr); };
filter f_mail { facility(mail); };
filter f_user { facility(user); };
filter f_uucp { facility(uucp); };
#filter f_ppp { facility(ppp); };
filter f_news { facility(news); };
filter f_debug { not facility(auth, authpriv, news, mail); };
filter f_messages { level(info..warn)
        and not facility(cron,auth, authpriv, mail, news); };
filter f_emergency { level(emerg); };

filter f_info { level(info); };

filter f_notice { level(notice); };
filter f_warn { level(warn); };
filter f_crit { level(crit); };
filter f_err { level(err); };

filter f_avc { match(".*avc: .*"); };
filter f_audit { match("^audit.*") and not match(".*avc: .*"); };
filter f_pax { match("^PAX:.*"); };
filter f_grsec { match("^grsec:.*"); };

#TS509 and WRVS4400n
filter f_qnap { facility(qlogd); };
filter f_linksys { match("xxx.xxx.xxx.xxx"); };

log { source(src); filter(f_authpriv); destination(authlog); };
log { source(src); filter(f_syslog); destination(syslog); };
log { source(src); filter(f_cron); destination(cron); };
log { source(src); filter(f_daemon); destination(daemon); };
log { source(kernsrc); filter(f_kern); destination(kern); };
log { source(src); filter(f_lpr); destination(lpr); };
log { source(src); filter(f_mail); destination(mail); };
log { source(src); filter(f_user); destination(user); };
log { source(src); filter(f_uucp); destination(uucp); };
log { source(kernsrc); filter(f_pax); destination(pax); };
log { source(kernsrc); filter(f_grsec); destination(grsec); };
log { source(kernsrc); filter(f_audit); destination(audit); };
log { source(kernsrc); filter(f_avc); destination(avc); };
log { source(src); filter(f_mail); filter(f_info); destination(mailinfo); };
log { source(src); filter(f_mail); filter(f_warn); destination(mailwarn); };
log { source(src); filter(f_mail); filter(f_err); destination(mailerr); };
log { source(src); filter(f_news); filter(f_crit); destination(newscrit); };
log { source(src); filter(f_news); filter(f_err); destination(newserr); };
log { source(src); filter(f_news); filter(f_notice); destination(newsnotice); };
log { source(src); filter(f_debug); destination(debug); };
log { source(src); filter(f_messages); destination(messages); };
log { source(src); filter(f_emergency); destination(console); };
#log { source(src); filter(f_ppp); destination(ppp); };
log { source(src); destination(console_all); };

#TS509 and WRVS4400n
log { source(src); filter(f_qnap); destination(d_qnap); };
log { source(src); filter(f_linksys); destination(d_linksys); };

Jeszcze mała uwaga, ponieważ urządzenia logowane są rozmieszczone wyłącznie w obszarze mieszkania i wiszą na osobnym vlanie - loguje przez UDP. Istnieje możliwośc logowania przez TCP ale nie każde urządzenia potrafi tak gadać.

jaroslawk · 22 Październik 2009

No nieźle w sieci domowej vlan.
Zbliża się weekend, więc pora zabrać się za pracę.
Jak bym miał jakieś problem to dam znać.
Pozdrawiam
Jarek

Deleted member jarlath · 23 Październik 2009

Nie ma problemu. Jeśli będę mógł pomóc. Vlan'y mam zrobiony ze względu na organizację i bezpieczeństwo. W sumie mam ich 3. Głównie dlatego, że w mojej sieci pracują także urządzenia mojej konstrukcji i chciałem na wszelki wypadek wydzielić sieć tych urządzeń. A potem powstała kolejna i kolejna...

Szukaj

Zbieranie logów w sieci wewnętrznej

jaroslawk

Staff

Deleted member jarlath

Guest

jaroslawk

Staff

Deleted member jarlath

Guest

jaroslawk

Staff

Deleted member jarlath

Guest

jaroslawk

Staff

Deleted member jarlath

Guest

Mogą Cię zainteresować

Użytkownicy znaleźli tą stronę używając tych słów: