Triển khai Kiwi Syslog

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
Giới thiệu Syslog

1. Overview


  • Syslog được phát triển năm 1980 bởi Eric Allman, nó là một phần của dự án Sendmail, và ban đầu chỉ được sử dụng duy nhất cho Sendmail.
  • Syslog hiện nay trở thành giải pháp khai thác log tiêu chuẩn trên Unix-Linux cũng như trên hàng loạt các hệ điều hành khác và nhiều thiết bị mạng hỗ trợ syslog như: routers, switches, application servers, firewalls, và các thiết bị mạng khác.
  • Trong năm 2009, Internet Engineering Task Forec (IETF) đưa ra chuẩn syslog trong RFC 5424
  • Syslog ban đầu sử dụng UDP, điều này là không đảm bảo cho việc truyền tin. Tuy nhiên sau đó IETF đã ban hành RFC 3195 Reliable Delivery for syslog - đảm bảo tin cậy cho syslog và RFC 6587 Transmission of Syslog Messages over TCP - Truyền tải thông báo syslog qua TCP. Điều này có nghĩa là ngoài UDP thì giờ đây syslog cũng đã sử dụng TCP để đảm bảo an toàn cho quá trình truyền tin.
  • Giao thức syslog cho phép các thiết bị mạng gửi log đến các server lưu trữ log tập trung. Chúng ta có thể xây dựng một (OOB) mạng đặc biệt out-of- band cho mục đích này .
  • Dịch vụ ghi syslog cung cấp ba chức năng chính :
    • Khả năng thu thập thông tin đăng nhập để theo dõi và xử lý sự cố
    • Khả năng chọn các loại thông tin đăng nhập mà bị ghi lại
    • Khả năng xác định những điểm đến của thông điệp syslog bị ghi lại

  • Log file thường thường được lưu dưới dạng “clear text” chúng ta có thể dễ dàng xem chúng.
2. Log tập trung

  • Để quản lý log một cách tốt hơn, xu thế hiện nay sẽ sử dụng log tập trung. Log tâp trung là quá trình tập trung, thu thập, phân tích... các log cần thiết từ nhiều nguồn khác nhau về một nơi an toàn để thuận lợi cho việc phân tích, theo dõi hệ thống.
3. Khó khăn trong triển khai hệ thống log tập trung

  • Nội dung log không đồng nhất. Giả sử log từ nguồn 1 có có ghi thông tin về ip mà không ghi thông tin về user name đăng nhập mà log từ nguồn 2 lại có -> khó khăn trong việc kết hợp các log với nhau để xử lý vấn đề gặp phải.
  • Định dạng log cũng không đồng nhất -> khó khăn trong việc chuẩn hóa
  • Đảm bảo tính toàn vẹn, bí mật, sẵn sàng của log.
    • Do có nhiều các rootkit được thiết kế để xóa bỏ logs.
    • Do log mới được ghi đè lên log cũ. -> Log phải được lưu trữ ở một nơi an toàn và phải có kênh truyền đủ đảm bảo tính an toàn và sẵn sàng sử dụng để phân tích hệ thống.
4. Lợi ích của hệ thống log

  • Các file log có thể nói cho bạn bất cứ thứ gì bạn cần biết, để giải quyết các rắc rối mà bạn gặp phải miễn là bạn biết ứng dụng nào, tiến trình nào được ghi vào log nào cụ thể.
  • Tác dụng của log là vô cùng to lớn, nó giúp IT chúng ta theo dõi hệ thống của mình tôt hơn, hoặc giải quyết các vấn đề gặp phải với hệ thống hoặc service hay đôi khi là bằng chứng trước tòa khi có ai đó làm điều gì đó mờ ám hay bậy bạ trong hệ thống của chúng ta. Điều này đặc biệt quan trọng với các hệ thống cần phải online 24/24 để phục vụ nhu cầu của mọi người dùng.
5. Cấu trúc Syslog

  • Trong hầu hết hệ thống Linux thì /var/log là nơi lưu lại tất cả các log.

  • Syslog là một giao thức client/server dùng để chuyển log đến máy nhận log. Máy nhận log thường được gọi là syslogd, syslog daemon hoặc syslog server.

  • Syslog có thể gửi qua UDP hoặc TCP. Các dữ liệu được gửi dạng cleartext. Syslog dùng port 514.


  • Nguồn sinh ra log
Facility Number
Nguồn tạo log
Ý nghĩa
0kernelNhững log mà do kernel sinh ra
1userLog ghi lại cấp độ người dùng
2mailLog của hệ thống mail
3daemonLog của các tiến trình trên hệ thống
4authLog từ quá trình đăng nhập hệ hoặc xác thực hệ thống
5syslogLog từ chương trình syslogd
6lprLog từ quá trình in ấn
7newsThông tin từ hệ thống
8uucpLog UUCP subsystem
9
Clock deamon
10authprivQuá trình đăng nhập hoặc xác thực hệ thống
11ftpLog của FTP deamon
12
Log từ dịch vụ NTP của các subserver
13
Kiểm tra đăng nhập
14
Log cảnh báo hệ thống
15cronLog từ clock daemon
16 - 23local 0 -local 7Log dự trữ cho sử dụng nội bộ



  • Mức độ cảnh bảo
Code
Mức cảnh báo
Ý nghĩa
0emergThông báo tình trạng khẩn cấp
1alertHệ thống cần can thiệp ngay
2critTình trạng nguy kịch
3errorThông báo lỗi đối với hệ thống
4warnMức cảnh báo đối với hệ thống
5noticeChú ý đối với hệ thống
6infoThông tin của hệ thống
7debugQuá trình kiểm tra hệ thống


  • Định dạng hoàn chỉnh của một thông báo syslog gồm có 3 phần chính như sau
<PRI> HEADER MSG:

  • Độ dài một thông báo không được vượt quá 1024 bytes
    • PRI: xác định mức độ nghiêm trọng của các cảnh báo, các thông điệp. Là 1 số 8bit.
      • 3 bit đầu tiên thể hiện cho tính nghiêm trọng của thông báo.
      • 5 bit còn lại đại diện cho sơ sở sinh ra thông báo.
    • Giá trị Priority được tính như sau: Cơ sở sinh ra log x 8 + Mức độ nghiêm trọng.
    • Ví dụ: thông báo từ kernel (Facility = 0) với mức độ nghiêm trọng (Severity =0) thì giá trị Priority = 0x8 +0 = 0. Trường hợp khác, với "local use 4" (Facility =20) mức độ nghiêm trọng (Severity =5) thì số Priority là 20 x 8 + 5 = 165.
Vậy biết một số Priority thì làm thế nào để biết nguồn sinh log và mức độ nghiêm trọng của nó. Ta xét 1 ví dụ sau:
Priority = 191 Lấy 191:8 = 23.875 -> Facility = 23 ("local 7") -> Severity = 191 - (23 * 8 ) = 7 (debug)

HEADER

  • Phần Header thì gồm các phần chính sau
    • Time stamp -- Thời gian mà thông báo được tạo ra. Thời gian này được lấy từ thời gian hệ thống ( Chú ý nếu như thời gian của server và thời gian của client khác nhau thì thông báo ghi trên log được gửi lên server là thời gian của máy client)
    • Hostname hoặc IP
Message

  • Phần MSG chứa một số thông tin về quá trình tạo ra thông điệp đó. Gồm 2 phần chính
    • Tag field: là tên chương trình tạo ra thông báo
    • Content field: chứa các chi tiết của thông báo

II. Triển khai Kiwi Syslog


1. Cài đặt Kiwi Syslog


  • Mở file cài đặt lên và tiến hành cài đặt Kiwi Syslog Server



  • Ở đây có 2 lựa chọn
    • Cài đặt như một service của windows, nó sẽ tự động chạy service mà không cần có user phải login
    • Cài đặt như một ứng dụng của Windows. Như vậy để chạy được Syslog bạn cần login vào hệ thống và bật ứng dụng này lên.



  • Sử dụng account của hệ thống local để cài đặt




  • Cho phép chúng ta sử dụng trình duyệt web để quản lý, monitor log của Kiwi Syslog




  • Vị trí cài đặt Kiwi Syslog







  • Cài đặt các ứng dụng cần thiết chi Kiwi Syslog









  • Kiwi Syslog cho chúng ta dùng thử 14 ngày.




2. Thuốc cho Kiwi Syslog
- Download thuốc cho Kiwi Syslog:
http://ddl2.digiboy.ir/solarwinds/S....x.x.Keygen.Incl.Patch.1000.Milestone.REPT.7z

  • Giải nén file chứa thuốc ra và chép đè file “Solarwinds.Licensing.Framework.dll” vào thư mục cài đặt của Kiwi Syslog.




  • Chạy chương trình Kiwi Syslog Server Licensing lên






  • Click vào “copy Unique Machine ID” để lấy ID



  • Copy ID “copy Unique Machine ID” ở trên cho vào ô điền “Enter your Unique Machine ID” và nhập username.
  • Nhấn General để chương trình thuốc của chúng ta tạo ra file chứa license cho Kiwi Syslog




  • Quay lại chương trình Kiwi Syslog các bạn trỏ đường dẫn cho nó tới file License mà chúng ta vừa tạo ở trên




  • Cuối cùng chúng ta đã sử dụng thuốc thanh công cho chương trình này







 
III. Cấu hình Kiwi Syslog trên Client
3.1. Windows

  • Download tools cài đặt agent Kiwi Syslog tại trang chủ. (bản mới thì miễn phí nhưng sẽ có quảng cáo, còn đối với bản cũ sẽ có tính phí)
FREE Log Forwarder for Windows Event Logs | SolarWinds

  • Tiến hành cài đặt SolarWinds Forwarder cho windows để thu thập log và gửi về cho Log server.








  • Trỏ IP của máy client về máy Server để các file log từ hệ thống của client có thể gửi về cho Syslog Server



  • Chúng ta sẽ gửi log về server thông qua port UDP: 514





  • Tiếp theo là chúng ta thực hiện add các thông tin log của client mà chúng ta cần đẩy lên cho Server





  • Thiết lập Priority cho log





  • Chúng ta có thể qua tab test để thử nghiệm hệ thống log mà chúng ta vừa cấu hình



  • Và xem trên Log server thì thấy client đã đổ log về đây thành công


3.2. Switch Cisco 2960

  • Cấu hình gửi log của switch Cisco 2960 về Server Kiwi Syslog.
  • Khai bao địa chỉ IP của Server Kiwi Syslog và mức độ các cảnh báo log được gửi về cho server Kiwi Syslog
Switch(config)#logging host 10.10.10.11
Switch(config)#logging trap 7

  • Trên Switch 2960 thử shutdown và no shutdown interface f0/24 để xem tình trạng switch gửi log về cho Kiwi Syslog Server


3.3. Avaya 425T-24 port


  • Kích hoạt tính năng loggin trên Switch 425T-24
425-24T(config)#logging enable
425-24T(config)#logging remote enable
425-24T(config)#logging remote address 10.10.10.10
425-24T(config)#logging remote level informational

  • Chúng ta sẽ tiến hành thử tạo 1 VLAN và xóa 1 VLAN trên Switch Avaya 425T-24. Sau đó các bạn lên Kiwi Syslog server và kiểm tra các log mà Switch Avaya 425T-24 gửi về cho KIWI Syslog Server
 
Em chào anh,

Em down thuốc cho kiwi syslog server theo link trong bài nhưng chưa có pass giải nén.
Anh có thể cung cấp cho em pass giải nén file 7z được ko ạ?

Em cảm ơn anh vì bài viết rất bổ ích ạ!
 
Em chào anh,

Em down thuốc cho kiwi syslog server theo link trong bài nhưng chưa có pass giải nén.
Anh có thể cung cấp cho em pass giải nén file 7z được ko ạ?

Em cảm ơn anh vì bài viết rất bổ ích ạ!
pass giải nén của bạn nhé: ww.digiboy.ir
 
Hi anh!
Em down thuốc cho kiwi syslog server theo link trong bài nhưng khi giải nén ra nó thiếu hết các file, Anh cho em xin link down lại với!
Thank anh!
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu