Servidor de logs em Debian Linux
Esse artigo tem como objetivo demonstrar a configuração de um servidor de logs em Debian Linux e seus clientes, que podem ser máquinas Linux, Windows, roteadores, dentre outros dispositivos de rede.
Parte 2: O servidor Syslog
Duas coisas devem ser mudadas num sistema Debian Linux para que que ele seja um servidor de logs. Para nossa sorte, são coisas simples e que exigem a mudança de dois arquivos de texto. Deve-se:
O processo do syslog é iniciado junto com o sistema por padrão, pois ele manipula todos os logs locais, e há vários deles. Se você ler os arquivos na pasta /var/log verá esses arquivos.
Para resolver o primeiro item acima temos que editar o script de inicialização do processo do syslogd. Abra o script usando o comando:
# vim /etc/init.d/sysklogd
e perceba essa linha próxima ao topo:
SYSLOGD=""
E mude para:
(É um zero após a letra 'm')
Então saia do editor salvando o arquivo. O atributo "r" diz ao syslogd para escutar as mensagens remotas. O atributo "m0" para o syslogd para inserir um separador nas entradas dos registros de log.
Para cuidar do segundo item, abra o seguinte arquivo:
# vim /etc/syslog.conf
e adicione as seguintes linhas no início do arquivo:
Isto diz ao processo do syslogd para escrever as mensagens no arquivo enterprise.log. Se quiser monitorar servidores Windows e dispositivos Cisco, adicione também a seguinte linha:
Use aqui o nível "debug" apenas para teste, para certificar-se de que o servidor está recebendo e logando as mensagens. Filtre isso depois. Agora reinicie o serviço syslogd com o comando:
# /etc/init.d/sysklogd restart
Parabéns! Temos nosso próprio servidor de logs. Você consegue ver isso visualizando os arquivos dentro da pasta /var/log novamente. Você deve ver o arquivo enterprise.log agora.
- Dizer ao processo do syslog para ouvir as mensagens de dispositivos remotos
- Dizer ao processo do syslog o que fazer com essas mensagens
O processo do syslog é iniciado junto com o sistema por padrão, pois ele manipula todos os logs locais, e há vários deles. Se você ler os arquivos na pasta /var/log verá esses arquivos.
Para resolver o primeiro item acima temos que editar o script de inicialização do processo do syslogd. Abra o script usando o comando:
# vim /etc/init.d/sysklogd
e perceba essa linha próxima ao topo:
SYSLOGD=""
E mude para:
SYSLOGD="r m0"
(É um zero após a letra 'm')
Então saia do editor salvando o arquivo. O atributo "r" diz ao syslogd para escutar as mensagens remotas. O atributo "m0" para o syslogd para inserir um separador nas entradas dos registros de log.
Para cuidar do segundo item, abra o seguinte arquivo:
# vim /etc/syslog.conf
e adicione as seguintes linhas no início do arquivo:
*.emerg /var/log/enterprise.log
*.alert /var/log/enterprise.log
*.crit /var/log/enterprise.log
*.alert /var/log/enterprise.log
*.crit /var/log/enterprise.log
Isto diz ao processo do syslogd para escrever as mensagens no arquivo enterprise.log. Se quiser monitorar servidores Windows e dispositivos Cisco, adicione também a seguinte linha:
local7.debug /var/log/enterprise.log
Use aqui o nível "debug" apenas para teste, para certificar-se de que o servidor está recebendo e logando as mensagens. Filtre isso depois. Agora reinicie o serviço syslogd com o comando:
# /etc/init.d/sysklogd restart
Parabéns! Temos nosso próprio servidor de logs. Você consegue ver isso visualizando os arquivos dentro da pasta /var/log novamente. Você deve ver o arquivo enterprise.log agora.