Zbieranie logów w sieci wewnętrznej

Dyskusja w 'Inne' rozpoczęta przez użytkownika jaroslawk, 21 Październik 2009.

Ładowanie...
  1. jaroslawk
    Offline

    jaroslawk Staff Contributor

    Dołączył:
    1 Październik 2008
    Wiadomości:
    275
    Miejscowość:
    Konin
    Local Time:
    01:01
    Oceny:
    +25 / 0 / -0
    Followers:
    0
    QNAP:
    TS-509 Pro
    Ethernet:
    1 GbE
    TS-509 Pro 1 GbE
    Witam,
    Potrzebuję zbierać z urządzeń w sieci wewnętrznej logi i archiwizować je w jednym miejscu. Czy zna może ktoś taki system oraz jakąś nakładkę do analizy w/w logów.
    Myślałem nad Linusem i syslog-ng. Wiem że za pomocą filtrów w syslogu można zrealizować mechanizm w którym każde urządzenie ma swój plik z logami.
    Pozdrawiam
    Jarek
     
  2. jarlath
    Offline

    jarlath Moderator Contributor

    Dołączył:
    12 Grudzień 2008
    Wiadomości:
    246
    Miejscowość:
    Poland, Gliwice
    Local Time:
    00:01
    Oceny:
    +14 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    Bez problemów syslog-ng zbiera zdalnie logi. Sam mam tak zrobione i działa jak trzeba. Do analizy coś w stylu PHP-log analyzer o ile dobrze pamiętam.
     
  3. jaroslawk
    Offline

    jaroslawk Staff Contributor

    Dołączył:
    1 Październik 2008
    Wiadomości:
    275
    Miejscowość:
    Konin
    Local Time:
    01:01
    Oceny:
    +25 / 0 / -0
    Followers:
    0
    QNAP:
    TS-509 Pro
    Ethernet:
    1 GbE
    TS-509 Pro 1 GbE
    Masz podzielone, że konkretne urządzenie ma swój plik czy wszystko jest zbierane do jednego pliku?.
     
  4. jarlath
    Offline

    jarlath Moderator Contributor

    Dołączył:
    12 Grudzień 2008
    Wiadomości:
    246
    Miejscowość:
    Poland, Gliwice
    Local Time:
    00:01
    Oceny:
    +14 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    W domu mam osobne pliki dla Linksys'a, i QNAP'a
     
  5. jaroslawk
    Offline

    jaroslawk Staff Contributor

    Dołączył:
    1 Październik 2008
    Wiadomości:
    275
    Miejscowość:
    Konin
    Local Time:
    01:01
    Oceny:
    +25 / 0 / -0
    Followers:
    0
    QNAP:
    TS-509 Pro
    Ethernet:
    1 GbE
    TS-509 Pro 1 GbE
    Czy logujesz wszystkie informacje czy tylko wybrane ?
    Czy mogę liczyć na podesłanie pliku konfiguracyjnego.
     
  6. jarlath
    Offline

    jarlath Moderator Contributor

    Dołączył:
    12 Grudzień 2008
    Wiadomości:
    246
    Miejscowość:
    Poland, Gliwice
    Local Time:
    00:01
    Oceny:
    +14 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    Przechowyje to co daje urządzenie przy logowaniu na zdalny serwer. Po stronie Syslog-NG możesz już sortować i logować co i jak chcesz
    A oto mój konfig z syslog-ng:
    Kod (Text):
    1.  
    2. options {
    3.         chain_hostnames(off);
    4.         sync(0);            
    5.         stats(43200);        
    6. };                          
    7.  
    8. #options {
    9. #       chain_hostnames(off);
    10. #       sync(0);            
    11. #       stats(43200);        
    12. #       long_hostnames(off);        
    13. #       use_dns(no);                
    14. #       create_dirs(yes);          
    15. #};                                
    16.  
    17. source src {    unix-stream("/dev/log");
    18.                 internal();            
    19.                 udp();                  
    20.             };                          
    21. source kernsrc { file("/proc/kmsg"); };
    22.  
    23. #source net { udp(); };
    24. #log { source(net); destination(net_logs); };
    25. #destination net_logs { file("/var/log/HOSTS/$HOST/$YEAR$MONTH$DAY.log"); };
    26.  
    27. destination authlog { file("/var/log/syslog-ng/auth.log"); };
    28. destination syslog { file("/var/log/syslog-ng/syslog"); };  
    29. destination cron { file("/var/log/syslog-ng/cron.log"); };  
    30. destination daemon { file("/var/log/syslog-ng/daemon.log"); };
    31. destination kern { file("/var/log/syslog-ng/kern.log"); file("/dev/tty12"); };
    32. destination lpr { file("/var/log/syslog-ng/lpr.log"); };
    33. destination user { file("/var/log/syslog-ng/user.log"); };
    34. destination uucp { file("/var/log/syslog-ng/uucp.log"); };
    35. #destination ppp { file("/var/log/syslog-ng/ppp.log"); };
    36. destination mail { file("/var/log/syslog-ng/mail.log"); };
    37.  
    38. #TS509 and WRVS4400n
    39. destination d_qnap { file("/var/log/syslog-ng/qnap.log"); };  
    40. destination d_linksys { file("/var/log/syslog-ng/linksys.log");};
    41.  
    42. destination avc { file("/var/log/syslog-ng/avc.log"); };
    43. destination audit { file("/var/log/syslog-ng/audit.log"); };
    44. destination pax { file("/var/log/syslog-ng/pax.log"); };  
    45. destination grsec { file("/var/log/syslog-ng/grsec.log"); };
    46.  
    47. destination mailinfo { file("/var/log/syslog-ng/mail.info"); };
    48. destination mailwarn { file("/var/log/syslog-ng/mail.warn"); };
    49. destination mailerr { file("/var/log/syslog-ng/mail.err"); };
    50.  
    51. destination newscrit { file("/var/log/news/news.crit"); };
    52. destination newserr { file("/var/log/news/news.err"); };
    53. destination newsnotice { file("/var/log/news/news.notice"); };
    54.  
    55. destination debug { file("/var/log/syslog-ng/debug"); };
    56. destination messages { file("/var/log/syslog-ng/messages"); };
    57. destination console { usertty("root"); };
    58. destination console_all { file("/dev/tty12"); };
    59. #destination loghost { udp("loghost" port(999)); };
    60.  
    61. destination xconsole { pipe("/dev/xconsole"); };
    62.  
    63. filter f_auth { facility(auth); };
    64. filter f_authpriv { facility(auth, authpriv); };
    65. filter f_syslog { not facility(authpriv, cron, mail); };
    66. filter f_cron { facility(cron); };
    67. filter f_daemon { facility(daemon); };
    68. filter f_kern { facility(kern); };
    69. filter f_lpr { facility(lpr); };
    70. filter f_mail { facility(mail); };
    71. filter f_user { facility(user); };
    72. filter f_uucp { facility(uucp); };
    73. #filter f_ppp { facility(ppp); };
    74. filter f_news { facility(news); };
    75. filter f_debug { not facility(auth, authpriv, news, mail); };
    76. filter f_messages { level(info..warn)
    77.         and not facility(cron,auth, authpriv, mail, news); };
    78. filter f_emergency { level(emerg); };
    79.  
    80. filter f_info { level(info); };
    81.  
    82. filter f_notice { level(notice); };
    83. filter f_warn { level(warn); };
    84. filter f_crit { level(crit); };
    85. filter f_err { level(err); };
    86.  
    87. filter f_avc { match(".*avc: .*"); };
    88. filter f_audit { match("^audit.*") and not match(".*avc: .*"); };
    89. filter f_pax { match("^PAX:.*"); };
    90. filter f_grsec { match("^grsec:.*"); };
    91.  
    92. #TS509 and WRVS4400n
    93. filter f_qnap { facility(qlogd); };
    94. filter f_linksys { match("xxx.xxx.xxx.xxx"); };
    95.  
    96. log { source(src); filter(f_authpriv); destination(authlog); };
    97. log { source(src); filter(f_syslog); destination(syslog); };
    98. log { source(src); filter(f_cron); destination(cron); };
    99. log { source(src); filter(f_daemon); destination(daemon); };
    100. log { source(kernsrc); filter(f_kern); destination(kern); };
    101. log { source(src); filter(f_lpr); destination(lpr); };
    102. log { source(src); filter(f_mail); destination(mail); };
    103. log { source(src); filter(f_user); destination(user); };
    104. log { source(src); filter(f_uucp); destination(uucp); };
    105. log { source(kernsrc); filter(f_pax); destination(pax); };
    106. log { source(kernsrc); filter(f_grsec); destination(grsec); };
    107. log { source(kernsrc); filter(f_audit); destination(audit); };
    108. log { source(kernsrc); filter(f_avc); destination(avc); };
    109. log { source(src); filter(f_mail); filter(f_info); destination(mailinfo); };
    110. log { source(src); filter(f_mail); filter(f_warn); destination(mailwarn); };
    111. log { source(src); filter(f_mail); filter(f_err); destination(mailerr); };
    112. log { source(src); filter(f_news); filter(f_crit); destination(newscrit); };
    113. log { source(src); filter(f_news); filter(f_err); destination(newserr); };
    114. log { source(src); filter(f_news); filter(f_notice); destination(newsnotice); };
    115. log { source(src); filter(f_debug); destination(debug); };
    116. log { source(src); filter(f_messages); destination(messages); };
    117. log { source(src); filter(f_emergency); destination(console); };
    118. #log { source(src); filter(f_ppp); destination(ppp); };
    119. log { source(src); destination(console_all); };
    120.  
    121. #TS509 and WRVS4400n
    122. log { source(src); filter(f_qnap); destination(d_qnap); };
    123. log { source(src); filter(f_linksys); destination(d_linksys); };
    124.  
    Jeszcze mała uwaga, ponieważ urządzenia logowane są rozmieszczone wyłącznie w obszarze mieszkania i wiszą na osobnym vlanie - loguje przez UDP. Istnieje możliwośc logowania przez TCP ale nie każde urządzenia potrafi tak gadać.
     
  7. jaroslawk
    Offline

    jaroslawk Staff Contributor

    Dołączył:
    1 Październik 2008
    Wiadomości:
    275
    Miejscowość:
    Konin
    Local Time:
    01:01
    Oceny:
    +25 / 0 / -0
    Followers:
    0
    QNAP:
    TS-509 Pro
    Ethernet:
    1 GbE
    TS-509 Pro 1 GbE
    No nieźle w sieci domowej vlan.
    Zbliża się weekend, więc pora zabrać się za pracę.
    Jak bym miał jakieś problem to dam znać.
    Pozdrawiam
    Jarek
     
  8. jarlath
    Offline

    jarlath Moderator Contributor

    Dołączył:
    12 Grudzień 2008
    Wiadomości:
    246
    Miejscowość:
    Poland, Gliwice
    Local Time:
    00:01
    Oceny:
    +14 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    Nie ma problemu. Jeśli będę mógł pomóc. Vlan'y mam zrobiony ze względu na organizację i bezpieczeństwo. W sumie mam ich 3. Głównie dlatego, że w mojej sieci pracują także urządzenia mojej konstrukcji i chciałem na wszelki wypadek wydzielić sieć tych urządzeń. A potem powstała kolejna i kolejna...
     

Użytkownicy znaleźli te stronę szukając słów:

  1. qnap syslog analyzer

  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Odrzuć powiadomienie.