Página principal » cómo » Cómo recopilar eventos del servidor de forma remota mediante Syslog

    Cómo recopilar eventos del servidor de forma remota mediante Syslog

    ¿Alguna vez ha deseado que, en lugar de tener que iniciar sesión manualmente en un servidor para ver el registro del sistema, los eventos simplemente lleguen a usted? How-To Geek explica cómo configurar un colector de syslog..

    Visión general

    Syslog se usa en una variedad de servidores / dispositivos para proporcionar información del sistema al administrador del sistema. Fuera de su entrada de Wiki:

    Syslog Es un estándar para el registro de datos informáticos. Permite la separación del software que genera mensajes del sistema que los almacena y el software que los informa y analiza..

    Syslog se puede utilizar para la gestión de sistemas informáticos y auditorías de seguridad, así como para mensajes de información general, análisis y depuración. Es compatible con una amplia variedad de dispositivos (como impresoras y enrutadores) y receptores en múltiples plataformas. Debido a esto, syslog se puede utilizar para integrar datos de registro de muchos tipos diferentes de sistemas en un repositorio central.

    Para aprovechar esa información, uno podría:

    1. Conéctese al servidor / dispositivo. Donde el cómo, puede cambiar de un dispositivo a otro y, si es posible, desde donde está el administrador en relación con el firewall que protege el activo..
    2. Encuentra el archivo Syslog. Lo que podría estar en una ubicación ligeramente diferente dependiendo del sistema / dispositivo al que se accede. Por ejemplo, en Debian esto es "/ var / log / syslog" y en DD-WRT su "/ var / log / messages" (casi como si fuera a pesar de usted ...).
    3. Utilice una utilidad de visualización de archivos disponible. De nuevo, podría ser ligeramente diferente dependiendo de lo que esté disponible en el sistema. Por ejemplo, en Busybox, la utilidad "menos" no es la implementación completa de GNU y, como tal, falta la función "Desplazar hacia adelante" (+ F).

    La alternativa sería configurar un recopilador de Syslog y hacer que los servidores / dispositivos de Syslog le envíen los eventos..

    Prerrequisitos y Suposiciones

    • Un dispositivo que soporta Syslog-ing remoto. En este artículo usaremos DD-WRT como ejemplo..
    • Syslog utiliza el puerto 514 UDP y, como tal, debe ser accesible desde el dispositivo que envía la información al recopilador.
    • Se asume cierto know how básico en redes..

    Configurar el colector Syslog

    Para recolectar los eventos, uno necesita tener un servidor Syslog. Si bien hay una multitud de opciones como "Kiwi" y "PRTG" para mencionar algunas, optamos por usar "Syslog Watcher".

    Nota: se recomienda que el servidor de recopilación utilice una IP que no cambiará, ya sea asignándola de forma estática o reservándola en DHCP.

    • Descarga la última versión de Syslog Watcher.
    • Instale en el modo regular "siguiente -> siguiente -> acabado".
    • Abre el programa desde el menú de inicio..
    • Cuando se le solicite que seleccione el modo de operación, seleccione: "Administrar el servidor local de Syslog".
    • Si el UAC de Windows lo solicita, apruebe la solicitud de derechos administrativos.
    • Inicia el servicio haciendo clic en el enorme botón "Jugar" en la parte superior izquierda.

    Si bien puede configurar el programa aún más, por ejemplo, como se muestra en los tutoriales en video, no lo tiene y está listo para rodar..

    Configurar el remitente de Syslog

    Como se indicó anteriormente, utilizaremos DD-WRT para este ejemplo. Dicho esto, el Sysloging remoto es una capacidad soportada por la mayoría de los dispositivos / OS que se respetan a sí mismos. Consulte la documentación sobre cómo configurarlo..

    En DD-WRT:

    • Vaya a la webGUI y seleccione "Servicios".
    • Marque la casilla de verificación Habilitar para "Syslogd".
    •  En el cuadro de texto Servidor remoto, coloque la IP / DNS del servidor recolector.
    • Guardar y aplicar para que la configuración tenga efecto..

    Eso es todo ... tu Syslog Watcher debería comenzar a llenarse con los eventos del sistema.

    Por ejemplo, si ha implementado nuestra guía "Cómo eliminar anuncios con Pixelserv en DD-WRT", podrá ver algo como lo siguiente:

    Disfrutar :)


    No intente operar de manera remota ningún puente espacial ...: P