Servidor de logs em Debian Linux

Esse artigo tem como objetivo demonstrar a configuração de um servidor de logs em Debian Linux e seus clientes, que podem ser máquinas Linux, Windows, roteadores, dentre outros dispositivos de rede.

[ Hits: 74.687 ]

Por: Mauricio Vieira Gomes da Silva em 09/10/2008


O servidor Syslog



Duas coisas devem ser mudadas num sistema Debian Linux para que que ele seja um servidor de logs. Para nossa sorte, são coisas simples e que exigem a mudança de dois arquivos de texto. Deve-se:
  • Dizer ao processo do syslog para ouvir as mensagens de dispositivos remotos
  • Dizer ao processo do syslog o que fazer com essas mensagens

O processo do syslog é iniciado junto com o sistema por padrão, pois ele manipula todos os logs locais, e há vários deles. Se você ler os arquivos na pasta /var/log verá esses arquivos.

Para resolver o primeiro item acima temos que editar o script de inicialização do processo do syslogd. Abra o script usando o comando:

# vim /etc/init.d/sysklogd

e perceba essa linha próxima ao topo:

SYSLOGD=""

E mude para:

SYSLOGD="r m0"

(É um zero após a letra 'm')

Então saia do editor salvando o arquivo. O atributo "r" diz ao syslogd para escutar as mensagens remotas. O atributo "m0" para o syslogd para inserir um separador nas entradas dos registros de log.

Para cuidar do segundo item, abra o seguinte arquivo:

# vim /etc/syslog.conf

e adicione as seguintes linhas no início do arquivo:

*.emerg /var/log/enterprise.log
*.alert /var/log/enterprise.log
*.crit /var/log/enterprise.log

Isto diz ao processo do syslogd para escrever as mensagens no arquivo enterprise.log. Se quiser monitorar servidores Windows e dispositivos Cisco, adicione também a seguinte linha:

local7.debug /var/log/enterprise.log

Use aqui o nível "debug" apenas para teste, para certificar-se de que o servidor está recebendo e logando as mensagens. Filtre isso depois. Agora reinicie o serviço syslogd com o comando:

# /etc/init.d/sysklogd restart

Parabéns! Temos nosso próprio servidor de logs. Você consegue ver isso visualizando os arquivos dentro da pasta /var/log novamente. Você deve ver o arquivo enterprise.log agora.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. O servidor Syslog
   3. Clientes do servidor "syslog"
   4. Visualizando os arquivos de log
   5. Conclusão
Outros artigos deste autor

Vodafone Mobile Connect Card driver - Um excelente software para modems 3G

iTALC 2.0 - Instalação e Configuração no Ubuntu

Leitura recomendada

Autenticação por desafio e resposta no SSH

Segurança extrema com LIDS: novos recursos

ClamAV em desktop

Seguraça extrema com LIDS

Prey Project - Localizando seu notebook roubado

  
Comentários
[1] Comentário enviado por renato.leite em 09/10/2008 - 15:09h

muito bom o artigo, tá de parabéns....

[2] Comentário enviado por reng.unip em 09/10/2008 - 15:27h

Dandelion parabéns, ótimo artigo, vou implementá-lo. Até mais.

[3] Comentário enviado por assuero em 09/10/2008 - 16:37h

Ótimo artigo, um servidor Linux de logs em um ambiente de rede é uma mão na roda para o administrador.
Esse será um dos artigos que terei na mão quando começar a fazer meus testes de rede com linux, em casa.
Obrigado por mais este conhecimento.

[4] Comentário enviado por comfaa em 10/10/2008 - 07:42h

ótimo artigo !!!
parabés

[5] Comentário enviado por removido em 12/10/2008 - 10:35h

dandelion

Muito Bom mesmo !!!

[6] Comentário enviado por removido em 13/10/2008 - 18:22h

Maurício,
ótimo artigo. parabéns.
foi o melhor q já li sobre syslog.

só ficou faltando uma informação. como faz para mudar a porta na qual o syslog vai receber as mensagens?

[7] Comentário enviado por comfaa em 14/10/2008 - 09:01h

Muito Bom Artigo !!!

Abraços

[8] Comentário enviado por jucaetico em 14/10/2008 - 10:49h

Cara, era tudo que eu precisava. Valeu mesmo!

Abraços

[9] Comentário enviado por crildo em 14/10/2008 - 14:20h

Muito Bom! Parabéns!

[10] Comentário enviado por jucaetico em 22/10/2008 - 09:51h

Amigo, testei e não funcionou na primeira vez, depois que vi o artigo em inglês. Notei a seguinte diferença:

Seu artigo:
SYSLOGD="r m0"

Artigo original:
SYSLOGD="-r -m0"


Pelo menos no meu caso essa alteração fiz no seguinte arquivo: /etc/default/syslogd

Agora funcionou blz.

ps. utilizei o Debian 4.0 etch

abraços

[11] Comentário enviado por smkbarbosa em 12/03/2009 - 09:27h

Muito bom, ajudou bastante.....


[12] Comentário enviado por jcbarrios em 18/03/2009 - 00:05h

Olá Parabéns pelo artigo!

Apenas uma dúvida, por exemplo é possível implementar essa técnica de enviar os logs para o servidor de log das estações de trabalho dos colaboradores com SO em windows (XP) por exemplo. Caso sim, como seria o procedimento.

Abs,

Obrigado.
Jcbarrios

[13] Comentário enviado por dandelion em 18/03/2009 - 10:11h

Olá jcbarrios!!!

Não fiz o teste com estações Windows XP, mas penso que o procedimento adotado pra Windows 2003 funcione também no XP.

Abraços!

[14] Comentário enviado por julioagostini em 26/06/2009 - 16:58h

Muito bom o artigo!

[15] Comentário enviado por magnolinux em 13/10/2009 - 10:46h

otimo artigo parabens..

[16] Comentário enviado por kurtz01 em 22/12/2011 - 02:38h

Muito bom vou testar em casa.

[17] Comentário enviado por MarceloHudson em 12/04/2012 - 10:52h

Estava à procura de um servidor SYSLOG,seu artigo vai me ser muito útil.Obrigado .

[18] Comentário enviado por augustodmdries em 09/08/2016 - 18:19h


[6] Comentário enviado por removido em 13/10/2008 - 18:22h

Maurício,
ótimo artigo. parabéns.
foi o melhor q já li sobre syslog.

só ficou faltando uma informação. como faz para mudar a porta na qual o syslog vai receber as mensagens?


Amigo fiz da seguinte forma

source "nome da sua source" {
network (port (514) transport("udp"));
};
coloque o nome que sua preferencia em sua source ex, "s_mikrotik"
e no lugar de 514 o numero da porta que deseja
e não se esqueça de informar nos dispositivos a porta


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts