Cấu hình gởi log đến sysnlog-ng server trên windows và linux

magicvn

Internship/Fresher
Aug 10, 2014
22
1
0
Trong bài viết sau sẽ hướng dẫn các bạn cấu hình forward logs từ Windows & Linux đến syslog-ng server.

Trên hệ điều hành Linux

Sử dụng rsyslog.

Mở file rsyslog.conf và thêm dòng cấu hình sau vào cuối file cấu hình:

Code:
[root@test ~]# vim /etc/syslog.conf
 
#Configure syslog to Send Logs to a Remote Log Host
*.*                 @@192.168.1.11:514

Khởi động lại dịch vụ để các thay đổi được thực hiện
Code:
[root@test ~]# service syslog restart
Shutting down kernel logger:          [  OK  ]
Shutting down system logger:          [  OK  ]
Starting system logger:               [  OK  ]
Starting kernel logger:               [  OK  ]
Sử dụng syslog-ng.

Mở file cấu hình syslog-ng.conf, xóa toàn bộ nội dung bên trong file này và thêm vào phần cấu hình bên dưới.
Code:
[root@test ~]# vim /etc/syslog-ng/syslog-ng.conf
 
@version:3.2
 
# syslog-ng configuration file.
#
# This should behave pretty much like the original syslog on RedHat. But
# it could be configured a lot smarter.
#
# See syslog-ng(8) and syslog-ng.conf(5) for more information.
#
 
options {
        flush_lines (0);
        time_reopen (10);
        log_fifo_size (1000);
        long_hostnames (off);
        use_dns (no);
        use_fqdn (no);
        create_dirs (no);
        keep_hostname (yes);
};
 
source s_sys {
        file ("/proc/kmsg" program_override("kernel: "));
        unix-stream ("/dev/log");
        internal();
        # udp(ip(0.0.0.0) port(514));
};
 
destination syslog-ng_server {
        tcp("192.168.2.11" port(514));
        #udp("192.168.2.11" port(514));
};
 
log { source(s_sys); destination(syslog-ng_server); };

Lưu ý: Trong file cấu hình trên server sẽ gởi log đến remote server bằng giao thức tcp. Nếu muốn dùng giao thức udp thay cho giao thức tcp chúng ta cần sửa phần cấu hình destination syslog-ng_server thành
Code:
destination syslog-ng_server {
        #tcp("192.168.2.11" port(514));
        udp("192.168.2.11" port(514));
};
Khởi động lại dịch vụ để các thay đổi được thực hiện
Code:
[root@test ~]# service syslog-ng restart
Stopping syslog-ng:                                        [  OK  ]
Starting syslog-ng:                                        [  OK  ]

Kiểm tra ghi log

Chạy lệnh bên dưới để kiểm tra việc ghi log đến server syslog-ng trung tâm.
Code:
[root@test ~]# logger –t “message test”

Trên server log trung tâm chạy lênh sau để kiểm tra quá trình ghi log có thành công hay không. Nếu không thì kiểm tra lại kết nối mạng và cấu hình tường lửa.
Code:
[root@myserver syslog-ng]#  cat /var/log/device/{log_name}.log

Trên hệ điều hành windows.

Download ứng dụng Evtsys theo link sau.
https://eventlog-to-syslog.googlecode.com/files/Evtsys_4.5.1_32-Bit-LP.zip
Sau khi download file, chúng ta tiến hành giải nén.
Mở command line và di chuyển vào thư mục file được giải nén, chạy lệnh sau.
Code:
Cú pháp: evtsys.exe -i -h [syslog server] -p [port]
C:\>evtsys.exe -i -h 192.168.2.11 -p 514

Tham khảo thêm phần cấu hình Syslog-ng theo link sau: http://svuit.com/showthread.php?718-Cài-đặt-và-cấu-hình-syslog-ng-trên-CentOS-6
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu