He leido un articulo muy interezante que expongo aqui y dice.
Instale el servidor de registro remoto (rsyslog)
En mi red de oficinas, tenemos una gran cantidad de pequeños dispositivos como router y switches en nuestro medio. Mi jefe quiere que yo tenga un informe sobre todo nuestro dispositivo de red para fines de auditoría. Para lograr este objetivo, tengo que tener un servidor que ejecute como servidor de registro, aceptar varios tipos de registro desde varios dispositivos. Este método facilitará a mi rastro de auditoría en una ubicación centralizada.
Voy a utilizar mi servidor de desarrollo que se ejecutan en CentOS para recibir los registros de mi router Mikrotik, 192.168.0.1 como la imagen a continuación:
rsyslog
Estoy utilizando las siguientes variables:
Rsyslog OS: CentOS 6.0 64bit
Rsyslog Server IP: 192.168.0.160
Router hostname: router.mynetwork.org
Router IP: 192.168.0.1
Rsyslog servidor
1. Instale el paquete rsyslog:
$ Yum install-y rsyslog
2. Asegúrese de que dispone de las siguientes líneas comentadas en / etc / rsyslog.conf:
$ModLoad imuxsock.so
$ModLoad imklog.so
$ModLoad imudp.so
$UDPServerRun 514
$ModLoad imtcp.so
$InputTCPServerRun 514
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg *
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
$AllowedSender TCP, 127.0.0.1, 192.168.0.0/24
$AllowedSender TCP, 192.168.0.1
3. Tenemos
que añadir las siguientes reglas en / etc / rsyslog.conf para los
registros recibidos desde el router se emitirá en un archivo llamado /
var / log / router.log:
:fromhost-ip,isequal,"192.168.0.1" /var/log/router.log
Hay
un montón de opciones que puede utilizar para definir las reglas de
registro a distancia, lo que se puede hacer referencia a esta página:
http://www.rsyslog.com/doc/property_replacer.html
4. Abra el puerto de firewall 514 en TCP y UDP:
$ iptables -A INPUT -m tcp -p tcp --dport 514 -j ACCEPT
$ iptables -A INPUT -m udp -p udp --dport 514 -j ACCEPT
5. Reinicie el demonio rsyslog para aplicar la configuración:
$ service rsyslog restart
6. También tenemos que girar este archivo de registro por lo que tendrá que comer
el espacio de disco del servidor. Crear un nuevo archivo de texto llamado enrutador
en / etc / logrotate.d / directorio:
$ vim /etc/logrotate.d/router
Y añadir la siguiente línea:
/var/log/router.log
{
daily
rotate 5
missingok
notifempty
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript
}
Router (Cliente rsyslog)
1. Router Mikrotik admite el registro remoto. Sólo
tengo que iniciar sesión en el Winbox> Sistema> Registro y
configurar acciones como captura de pantalla a continuación:
 2. Lo siguiente, es que tenemos que crear las reglas en las que el nivel de registro es lo que desea que se envíen al servidor rsyslog. Ir a Winbox> Sistema> Registro y configuración de reglas como captura de pantalla a continuación: log2Pruebas  Ahora, el router debe enviar el registro de forma remota al servidor rsyslog y podemos comprobar los registros del router ejecutando el siguiente comando: $ tail -f /var/log/router.log
Jan 8 17:23:28 192.168.0.1 system,info log action changed by admin
Jan 8 17:26:09 192.168.0.1 system,info filter rule changed by admin
Jan 8 17:26:09 192.168.0.1 system,info filter rule changed by admin
Jan 8 17:26:23 192.168.0.1 system,info PPP AAA settings changed by admin
Jan 8 17:26:40 192.168.0.1 system,info L2TP Server settings changed by admin
Jan 8 17:26:49 192.168.0.1 system,info filter rule changed by admin
Jan 8 17:26:50 192.168.0.1 system,info filter rule changed by admin
Fuente:http://blog.secaserver.com/2013/01/centos-6-install-remote-logging-server-rsyslog/
Traduccion:Dellcom1@.
Saludos Mundo Libre.
|
No hay comentarios:
Publicar un comentario