Astăzi vom vorbi despre o aplicație foarte utilă și importantă - syslog.
O scurtă deviere în istorie și informație:
Syslog a fost dezvoltat în 1980 de către Eric Allman (Eric Allman), ca parte a proiectului Sendmail, și a fost folosit inițial doar pentru Sendmail. sa dovedit ca o soluție stabilă și ușor de utilizat, syslog a fost utilizat în alte aplicații, devenind jurnalizare pe sistemele UNIX și GNU / Linux. Mai târziu, au existat implementări pentru alte sisteme de operare.
syslog - standardul pentru trimiterea mesajelor despre evenimentele care apar în sistem (jurnalele) utilizate în rețelele de calculatoare care utilizează protocolul IP.
protocol Syslog este simplu: expeditorul trimite un mesaj text scurt, o dimensiune mai mică de 1024 octeți la destinatar. Destinatarul în acest caz poartă numele «syslogd», «syslog daemon», sau altceva, «syslog serverul». Mesajele pot fi trimise fie prin UDP sau TCP. De regulă, un astfel de mesaj este trimis în text clar. Cu toate acestea, folosind echipamente speciale (cum ar fi Stunnel, sslio sau sslwrap), poate cripta mesaje și să le trimită prin SSL / TLS.
Syslog este utilizat pentru a facilita administrarea și securitatea informațiilor. Acesta este implementat sub o varietate de platforme și este utilizat într-o varietate de dispozitive. Prin urmare, utilizarea syslog vă permite să colectați informații din diferite locuri și să le stocați într-un singur depozit.
Interfața de comandă pentru syslog este loggerul.
De fapt, syslog - o caracteristică care este utilizat de mai multe programe pentru a înregistra mesaje în înregistratorul de mesaje de sistem (syslogd). Syslogd citește și afișează mesajele de pe consola de sistem, fișierele jurnal (log files) în alte mașini și utilizatori, în conformitate cu fișierul de configurare (/etc/syslog.conf).
Acesta este în mod implicit syslog.conf, furnizat împreună cu FreeBSD:
Și acesta este un pic redactat syslog.conf:
Citirea jurnalelor este foarte utilă și informativă, iar fiecare administrator care se respectă trebuie să caute în mod necesar jurnalele pentru activități suspecte.
Strict vorbind, în scopul de a recomanda de siguranta configurat pentru a trimite jurnalele la mașina de la distanță. Este convenabil pentru mai multe motive, în special - poate colecta jurnalele de la mai multe servere pe unul și apoi le prosmotatrivat, și - dacă ceva sa întâmplat neprityanoe, de exemplu, tocat - de jurnalele care sunt stocate pe un server de la distanță, puteți restaura cronologia incidentului și pentru a urmări criminalul;)
Configurăm mașinile din care vor fi trimise jurnalele.
Adăugarea în /etc/syslog.conf:
Configurarea syslog-ului pe server pentru a primi jurnale de la mașinile syslog de la distanță.
Schimbarea /etc/syslog.conf:
# Unitate comună pentru toate mașinile
Corectați parametrii pentru rularea syslog în /etc/rc.conf,:
implicit syslogd_flags = "- s", pentru unele syslog trebuie să adăugați -r:
Pentru a asigura securitatea, trebuie să listați gazdele din care puteți accepta jurnalele
cu opțiunea -a, adică:
Dar este mai bine să ascundeți accesul la filtrul de pachete syslog, /etc/rc.firewall:
De fapt, toate sunt :)