Agora temos que dizer aos nossos servidores clientes que eles devem usar o servidor de logs, e quais tipos de mensagens deve enviar.

Dispositivos Cisco

Para os switches Cisco rodando o CatOs você deve rodar o console ou telnet no switch e inserir os seguintes comandos para completar o serviço:

set logging server <endereço ip do servidor de logs>
set logging server severity 3
set logging timestamp enable
set logging server enable

Note que 3 é onde é definido o nível de criticidade. Para roteadores Cisco e switches rodando IOS os comandos são:

config term
logging <endereço ip do servidor de logs>
logging trap errors
service timestamps log datetime
logging on

Note que errors é onde é definido o nível de criticidade.

Sistemas Linux

Para configurar outros servidores Linux (e eventualmente desktops) para serem clientes, você deve adicionar a seguinte linha no seu arquivo /etc/syslog.conf:


Substituindo "debianbox" pelo nome ou endereço ip do seu servidor de logs. O parâmetro "*.*" especifica que todas as mensagens serão enviadas para o servidor de logs. Alguns dispositivos, como placas JetDirect, não permitem a você especificar o nível de criticidade que deseja que seja registrado, então o filtro deve ser feito no arquivo /etc/syslog.conf do servidor.

Servidores Windows

Naturalmente a Microsoft não suporta um formato padrão de logs, então temos que usar de alguns recursos para monitorar servidores Windows.

Uma empresa na Suécia chamada Datagram tem um ótimo software gratuito chamado SyslogAgent, que roda como um serviço do Windows nos servidores. Ele converte todas as mensagens do Visualizador de Eventos (Sistema, Aplicações, Segurança etc) para o formato do syslog e os manda para o servidor syslog. Você pode especificar os diferentes níveis de segurança de cada log. E o melhor de tudo, a instalação não requer o reinício do servidor! =)

O download pode ser feito em Datagram SyslogServer Suite v2.2.4 e baixe apenas o aplicativo SyslogAgent file, e não a suíte inteira. Ele roda nas versões NT, 2000 e 2003 do Windows.

Arquivos de log rotativos

Syslog é um processo que roda em qualquer dispositivo Linux/UNIX para manter os logs locais. O parâmetro r (para escutar sistemas remotos) é o que torna o sistema num servidor de logs. Existe um outro processo que trabalha com o syslog para manter os arquivos chamado logrotate. Rotacionar um arquivo de log significa renomear o arquivo corrente de log adicionando-lhe uma extensão .0 ou .1 etc no nome do arquivo e recomeçando um novo arquivo do zero.

O parâmetros dos rotacionamentos (tempo, tamanho etc) são configurados editando o arquivo /etc/logrotate.conf. Se estiver mantendo registros apenas dos erros mais graves, você poderá rotacionar os logs mensalmente. Semanalmente é o padrão. Você também pode configurar quantos arquivos de log antigos deseja manter.

As configurações chave no arquivo /etc/logrotate.conf são:


Você pode definir seções para que os diferentes arquivos de log tenham diferentes configurações de rotação. Consulte a manpage do logrotate para detalhes.