Servidor de logs em Debian Linux

Esse artigo tem como objetivo demonstrar a configuração de um servidor de logs em Debian Linux e seus clientes, que podem ser máquinas Linux, Windows, roteadores, dentre outros dispositivos de rede.

[ Hits: 74.701 ]

Por: Mauricio Vieira Gomes da Silva em 09/10/2008


Clientes do servidor "syslog"



Agora temos que dizer aos nossos servidores clientes que eles devem usar o servidor de logs, e quais tipos de mensagens deve enviar.

Dispositivos Cisco

Para os switches Cisco rodando o CatOs você deve rodar o console ou telnet no switch e inserir os seguintes comandos para completar o serviço:

set logging server <endereço ip do servidor de logs>
set logging server severity 3
set logging timestamp enable
set logging server enable


Note que 3 é onde é definido o nível de criticidade. Para roteadores Cisco e switches rodando IOS os comandos são:

config term
logging <endereço ip do servidor de logs>
logging trap errors
service timestamps log datetime
logging on


Note que errors é onde é definido o nível de criticidade.

Sistemas Linux

Para configurar outros servidores Linux (e eventualmente desktops) para serem clientes, você deve adicionar a seguinte linha no seu arquivo /etc/syslog.conf:

*.* @debianbox

Substituindo "debianbox" pelo nome ou endereço ip do seu servidor de logs. O parâmetro "*.*" especifica que todas as mensagens serão enviadas para o servidor de logs. Alguns dispositivos, como placas JetDirect, não permitem a você especificar o nível de criticidade que deseja que seja registrado, então o filtro deve ser feito no arquivo /etc/syslog.conf do servidor.

Servidores Windows

Naturalmente a Microsoft não suporta um formato padrão de logs, então temos que usar de alguns recursos para monitorar servidores Windows.

Uma empresa na Suécia chamada Datagram tem um ótimo software gratuito chamado SyslogAgent, que roda como um serviço do Windows nos servidores. Ele converte todas as mensagens do Visualizador de Eventos (Sistema, Aplicações, Segurança etc) para o formato do syslog e os manda para o servidor syslog. Você pode especificar os diferentes níveis de segurança de cada log. E o melhor de tudo, a instalação não requer o reinício do servidor! =)

O download pode ser feito em Datagram SyslogServer Suite v2.2.4 e baixe apenas o aplicativo SyslogAgent file, e não a suíte inteira. Ele roda nas versões NT, 2000 e 2003 do Windows.

Arquivos de log rotativos

Syslog é um processo que roda em qualquer dispositivo Linux/UNIX para manter os logs locais. O parâmetro r (para escutar sistemas remotos) é o que torna o sistema num servidor de logs. Existe um outro processo que trabalha com o syslog para manter os arquivos chamado logrotate. Rotacionar um arquivo de log significa renomear o arquivo corrente de log adicionando-lhe uma extensão .0 ou .1 etc no nome do arquivo e recomeçando um novo arquivo do zero.

O parâmetros dos rotacionamentos (tempo, tamanho etc) são configurados editando o arquivo /etc/logrotate.conf. Se estiver mantendo registros apenas dos erros mais graves, você poderá rotacionar os logs mensalmente. Semanalmente é o padrão. Você também pode configurar quantos arquivos de log antigos deseja manter.

As configurações chave no arquivo /etc/logrotate.conf são:

# rotacionar arquivos de log semanalmente
weekly
# Manter logs durante 4 semanas
rotate 4
# criar um novo arquivo (em branco) ao rotacionar os arquivos antigos
create
#descomente esta linha se quiser compactar os arquivos de log
#compress

Você pode definir seções para que os diferentes arquivos de log tenham diferentes configurações de rotação. Consulte a manpage do logrotate para detalhes.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. O servidor Syslog
   3. Clientes do servidor "syslog"
   4. Visualizando os arquivos de log
   5. Conclusão
Outros artigos deste autor

Vodafone Mobile Connect Card driver - Um excelente software para modems 3G

iTALC 2.0 - Instalação e Configuração no Ubuntu

Leitura recomendada

Verificação de integridade de arquivos - Ferramenta OSSEC

Checando vulnerabilidades com o Nikto

From Deploy WAR (Tomcat) to Shell (FreeBSD)

Instalação do Comodo Antivirus para Linux (CAVL) resolvendo o problema de dependências

Sudoers 1.8.12 - Parte II - Manual

  
Comentários
[1] Comentário enviado por renato.leite em 09/10/2008 - 15:09h

muito bom o artigo, tá de parabéns....

[2] Comentário enviado por reng.unip em 09/10/2008 - 15:27h

Dandelion parabéns, ótimo artigo, vou implementá-lo. Até mais.

[3] Comentário enviado por assuero em 09/10/2008 - 16:37h

Ótimo artigo, um servidor Linux de logs em um ambiente de rede é uma mão na roda para o administrador.
Esse será um dos artigos que terei na mão quando começar a fazer meus testes de rede com linux, em casa.
Obrigado por mais este conhecimento.

[4] Comentário enviado por comfaa em 10/10/2008 - 07:42h

ótimo artigo !!!
parabés

[5] Comentário enviado por removido em 12/10/2008 - 10:35h

dandelion

Muito Bom mesmo !!!

[6] Comentário enviado por removido em 13/10/2008 - 18:22h

Maurício,
ótimo artigo. parabéns.
foi o melhor q já li sobre syslog.

só ficou faltando uma informação. como faz para mudar a porta na qual o syslog vai receber as mensagens?

[7] Comentário enviado por comfaa em 14/10/2008 - 09:01h

Muito Bom Artigo !!!

Abraços

[8] Comentário enviado por jucaetico em 14/10/2008 - 10:49h

Cara, era tudo que eu precisava. Valeu mesmo!

Abraços

[9] Comentário enviado por crildo em 14/10/2008 - 14:20h

Muito Bom! Parabéns!

[10] Comentário enviado por jucaetico em 22/10/2008 - 09:51h

Amigo, testei e não funcionou na primeira vez, depois que vi o artigo em inglês. Notei a seguinte diferença:

Seu artigo:
SYSLOGD="r m0"

Artigo original:
SYSLOGD="-r -m0"


Pelo menos no meu caso essa alteração fiz no seguinte arquivo: /etc/default/syslogd

Agora funcionou blz.

ps. utilizei o Debian 4.0 etch

abraços

[11] Comentário enviado por smkbarbosa em 12/03/2009 - 09:27h

Muito bom, ajudou bastante.....


[12] Comentário enviado por jcbarrios em 18/03/2009 - 00:05h

Olá Parabéns pelo artigo!

Apenas uma dúvida, por exemplo é possível implementar essa técnica de enviar os logs para o servidor de log das estações de trabalho dos colaboradores com SO em windows (XP) por exemplo. Caso sim, como seria o procedimento.

Abs,

Obrigado.
Jcbarrios

[13] Comentário enviado por dandelion em 18/03/2009 - 10:11h

Olá jcbarrios!!!

Não fiz o teste com estações Windows XP, mas penso que o procedimento adotado pra Windows 2003 funcione também no XP.

Abraços!

[14] Comentário enviado por julioagostini em 26/06/2009 - 16:58h

Muito bom o artigo!

[15] Comentário enviado por magnolinux em 13/10/2009 - 10:46h

otimo artigo parabens..

[16] Comentário enviado por kurtz01 em 22/12/2011 - 02:38h

Muito bom vou testar em casa.

[17] Comentário enviado por MarceloHudson em 12/04/2012 - 10:52h

Estava à procura de um servidor SYSLOG,seu artigo vai me ser muito útil.Obrigado .

[18] Comentário enviado por augustodmdries em 09/08/2016 - 18:19h


[6] Comentário enviado por removido em 13/10/2008 - 18:22h

Maurício,
ótimo artigo. parabéns.
foi o melhor q já li sobre syslog.

só ficou faltando uma informação. como faz para mudar a porta na qual o syslog vai receber as mensagens?


Amigo fiz da seguinte forma

source "nome da sua source" {
network (port (514) transport("udp"));
};
coloque o nome que sua preferencia em sua source ex, "s_mikrotik"
e no lugar de 514 o numero da porta que deseja
e não se esqueça de informar nos dispositivos a porta


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts