Wie man

So erfassen Sie Serverereignisse remote mithilfe von Syslog

Haben Sie sich jemals gewünscht, dass die Ereignisse einfach zu Ihnen kommen, anstatt sich manuell an einem Server anzumelden, um das Systemprotokoll anzuzeigen? How-To Geek erklärt, wie man einen Syslog-Collector einrichtet.

Überblick

Syslog wird auf einer Vielzahl von Servern/Geräten verwendet, um dem Systemadministrator Systeminformationen bereitzustellen. Aus es ist Wiki-Eintrag:

Syslog ist ein Standard für die Computerdatenprotokollierung. Es ermöglicht die Trennung der Software, die Nachrichten generiert, vom System, das sie speichert, und der Software, die sie meldet und analysiert.

Syslog kann für die Computersystemverwaltung und Sicherheitsüberprüfung sowie für allgemeine Informations-, Analyse- und Debugging-Nachrichten verwendet werden. Es wird von einer Vielzahl von Geräten (wie Druckern und Routern) und Empfängern über mehrere Plattformen hinweg unterstützt. Aus diesem Grund kann syslog verwendet werden, um Protokolldaten aus vielen verschiedenen Arten von Systemen in ein zentrales Repository zu integrieren.

Um auf diese Informationen zuzugreifen, könnte man:

Verbinden Sie sich mit dem Server/Gerät. Wo das Wie, von Gerät zu Gerät wechseln kann und wenn möglich von wo aus der Administrator in Bezug auf die Firewall das Asset schützt.
Suchen Sie die Syslog-Datei. Dies kann sich je nach System/Gerät, auf das zugegriffen wird, an einem etwas anderen Ort befinden. Unter Debian ist dies beispielsweise „/var/log/syslog“ und auf DD-WRT seine „/var/log/messages“ (fast wie wenn auch nur um dich zu ärgern…).
Verwenden Sie ein verfügbares Dienstprogramm zum Anzeigen von Dateien. Auch hier könnte etwas anders sein, je nachdem, was auf dem System verfügbar ist. Auf Busybox beispielsweise ist das Dienstprogramm „less“ nicht die vollständige GNU-Implementierung und als solches fehlt die Funktion „Scroll forward“ (+F).

Die Alternative wäre, einen Syslog-Kollektor einzurichten und die Syslog-ing-Server/-Geräte die Ereignisse an ihn senden zu lassen.

Voraussetzungen & Annahmen

Ein Gerät, das Remote-Sysloging unterstützt. In diesem Artikel verwenden wir DD-WRT als Beispiel.
Syslog verwendet Port 514 UDP und muss daher von dem Gerät aus erreichbar sein, das die Informationen an den Collector sendet.
Einige grundlegende Netzwerkkenntnisse werden vorausgesetzt.

Den Syslog-Kollektor einrichten

Um die Ereignisse zu sammeln, benötigt man einen Syslog-Server. Es gibt zwar eine Vielzahl von Optionen wie „Kiwi» und «PRTG” Um nur einige zu nennen, haben wir uns für die Verwendung von “Syslog-Beobachter“.

Hinweis: Es wird empfohlen, dass der sammelnde Server eine IP verwendet, die sich nicht ändert, entweder durch statische Zuweisung oder durch Reservieren in DHCP.

Laden Sie die neueste herunter Syslog-Beobachter.
Installieren Sie wie gewohnt «nächstes -> nächstes -> beenden».
Öffnen Sie das Programm über das „Startmenü“.
Wenn Sie aufgefordert werden, den Betriebsmodus auszuwählen, wählen Sie: „Lokalen Syslog-Server verwalten“.
Wenn Sie von der Windows UAC dazu aufgefordert werden, genehmigen Sie die Anforderung von Administratorrechten.
Starten Sie den Dienst, indem Sie oben links auf die riesige Schaltfläche „Play“ klicken.

Während Sie das Programm beispielsweise weiter konfigurieren könnten, wie in der Videoanleitungen, haben Sie auch nicht und es ist bereit zu rollen.

Den Syslog-Sender einrichten

Wie oben erwähnt, verwenden wir für dieses Beispiel DD-WRT. Abgesehen davon ist Remote-Sysloging eine Funktion, die von den meisten selbstbewussten Geräten/Betriebssystemen unterstützt wird. Lesen Sie in der Dokumentation nach, wie Sie es einrichten.

Auf DD-WRT: